Esto lo expliqué ya en mi blog, pero lo ideal es generar un pass al azar y un codigo de confirmación al azar los cuales se almacenaran en la db y se enviarán por mail. Al hacer click en un enlace de confirmacion con el correspondiente codigo de confirmacion, se actualizará la contraseña que se envio por mail.

De este modo evitamos que algun gracioso que sepa nuestro mail pida el cambio de pass y nos veamos obligados a cambiar el password. Obviamente no hay manera de que nos roben el pass si no tienen acceso a nuestras cuentas, pero igual es molesto.

Saludos.

http://www.phpcondreamweaver.com.ar/...opic,51.0.html