如果要设计一个用户注册系统只需要用户名和密码，除了设置问题和答案外还有什么更好的方式帮助用户找回密码。

注册之后显示一段恢复代码让用户保存，恢复代码只显示一次，安全期间还可以加上 2fa 验证，第三方登录也是不错的选择

加个第三方登录不就好了么

可以参考网易通行证早期的做法：设置一个安全码。
这个安全码是一个完全自定义的数字，由客户自行设置，记得应该是有最小长度的要求。
这个安全码拥有该账户的最高权限，包括充值密码的操作。
当然现在这种安全码可能会被秘钥或者助记词来代替。

要么第三方登录，要么注册时留联系方式，忘记密码提工单走人工验证。

直接不用密码，使用 2fa 动态验证码登录，无法丢失无法找回，用户自己保存管理

绑定开放的登录授权平台

直接接入第三方登录呢？

换个好的邮箱服务呗，比如独立开发者最爱的 Resend 。
另外，集成三方登录也是个好办法。

加谷歌验证应该是比较好 大众接受度也比较高的方案之一了..

所以我特别讨厌邮箱找回密码的。。

可以 mac 地址加盐吗，近期使用过的几台设备存储下来，匹配到就允许修改

用户名 + OTP 的方式呢？

直接摒弃掉密码，而恢复方式依赖于 OTP 的恢复，如果用户自己遗失了 OTP 密钥，也就自然失去了账户的访问权限。

我记得 QQWX 找回的时候会让你选择自己的好友头像。借这个思路，可以将部分用户的内容作为验证项，两三次 9*9 的验证，通过就当 ok 了

比特币钱包登录

直接接入 Google 登录、微信登录等第三方的登录方式最好了

身份证号找回