Szerintem feleslegesen próbálod a kereket újra feltalálni. Bonyolítod, de elérsz egy olyan rendszerhez, ami épp olyan komplex, mint egy jelszavas vagy 2FA rendszer, de cserében a biztonsága a 0-át verdesi. Az ilyen születési dátumok sose voltak jó ötlet, szülőké se, mert igaz, hogy az ilyeneket idegen lehet nem tudja, de ha tudja az illetőről, hogy hány éves, meg mi az e-mailje, onnantól azon az 1-2 éven belül 365 napos próbálkozással simán belép.
Legyen csak szépen hagyományos jelszó, az oldal használói meg tudják ezt kezelni. Egyedül arra figyelj, hogy jelszót ne tárolj, csak hash-t, ha leak lenne, akkor se kerüljenek bajba a felhasználók.