Mein Vorschlag wäre folgender:
Wenn man sein Alter verifiziert hat man die Möglichkeit die Personalausweisnummer (verschlüsselt wie ein PW) Nickbezogen zu speichern.
Außerdem eine PW-Vergessen-Funktion, bei der man durch Eingabe von Nick und Personalausweisnummer ein neues PW einstellen kann.
Für diejenigen die ihr Alter bereits verifiziert haben sollte es die Möglichkeit geben die Nr durch erneutes Aufrufen der /verify zu speichern.

Vorteil: Weniger Aufwand für alle bei Nickklau
Nachteil: Brute-Force-Kriterien könnten eindeutiger werden. Ansonsten fallen mir keine ein.
_________________________
tl;dr