Na minha aplicação que estou desenvolvendo, optei pela opção de não ter senha.

O usuário terá que validar um código pelo e-mail ou celular. Terá a opção de 'browser confiável' para manter-se conectado. Só não defini de qto em qto tempo vou pedir para se conectar novamente.

E no futuro, vou implementar a opção de usar Google Authenticator e afins.