密码

security-and-hardening 技能用于在发布前加固应用代码。适用于用户输入、认证、会话、敏感数据、文件上传、webhook 和外部服务等场景，涵盖输入校验、参数化查询、输出编码、安全 Cookie、HTTPS 以及 secrets 处理等具体检查项。

面向 Better Auth 的 two-factor-authentication-best-practices：安装 twoFactor 插件，添加客户端重定向，运行迁移并验证 schema，实施 TOTP、backup codes、trusted devices 与 2FA sign-in flow，以满足 Access Control 场景需求。

email-and-password-best-practices 可帮助你配置 Better Auth 的邮箱/密码登录、验证邮件、密码重置流程、密码规则、哈希选项，以及必需的迁移步骤。