Хорошо, давай разложим всё по полочкам, без лишних слов. Во-первых, забудь про обычный пароль. Используй короткую, случайную строку, сгенерированную автоматически, а потом предложи пользователю добавить запоминающуюся фразу или код двухфакторной аутентификации – так энтропия будет высокой, а неудобство минимальным. Далее, предоставь им кнопку "войти через телефон" в один клик, которая отправит временную ссылку или одноразовый код. Тогда пароль вводить не придётся, и при этом ты пройдёшь аудит по MFA. Отображай статус попытки входа понятным индикатором в одну строчку – "Ожидает", "Успешно" или "Ошибка", никаких непонятных кодов. Для удобства пользователей сделай кнопку крупной, с хорошим контрастом и работающей с экранными чтецами. И на всякий случай, если они забудут ссылку, предложи переотправить её – но только после истечения времени ожидания, чтобы избежать спама. И, наконец, логируй всё в структурированном JSON-файле с метками времени и IP-адресами – это даст аудиторам то, что им нужно, не перегружая интерфейс. Просто, безопасно, и пользователь почувствует, что легко проходит через дверь, а не борется с ней.