Пароль должен всегда следовать за логином — это нерушимая пара. Я бы сделал так:
А еще лучше так:
Повторение пароля — излишняя формальность, если его можно восстановить в любой момент. При регистрации можно даже сделать пароль видимым — мы проводим такой эксперимент на Вебораме.
Атаки ботов — это сложности администрации, а не пользователей. Спамерская угроза должна учитываться еще при проектировании структуры и правил системы. Правильные вопросы — «что плохого может сделать зарегистрировавшийся робот» и «как это диагностировать, предотвратить, исправить или сделать незначительным».