Se il tuo sito non ha realmente bisogno delle proprie credenziali di accesso, usa OpenID. Vedi Jeff Atwood's post su questo. Se è abbastanza buono per StackOverflow, è abbastanza buono per il tuo sito. ;)
Ma, se davvero hai davvero bisogno delle tue credenziali, la maggior parte dei siti dice solo che un utente non può accedere fino a quando non ha verificato. In pratica, questo è normalmente ciò che vedi. Una verifica email con un link che contrassegnerà l'account come attivo.
Il motivo per cui è così che una persona o un bot non può avere dominio libero sul tuo sito prima di aver verificato il suo account. I forum mi vengono in mente in cima alla mia testa. Se un utente può vivere in uno stato di limbo registrato e postare commenti di trolling, va male. Se un bot può registrarsi per il tuo sito e avviare lo spam b / c non ha bisogno di un indirizzo email valido, ancora una volta, è male.