Yo no creo que sea ilegal, lo que si creo es que desde el punto de vista de la seguridad es una locura. Nadie en su sano juicio guarda las contraseñas en texto claro y nadie las envía por correo asi sin más. En una red local es facilísimo visualizar correos con uno de los muchos sniffers que hay gratuitos.

Si un usuario olvida una clave, se le manda a la dirección de correo con la que se registró, una contraseña aleatoria con un tiempo de vida limitado. Con esa contraseña entra y vuelve a poner la que quiera en las pantallas que tenga a tal efecto.

Hay paquetes gratuitos para usar en ASP, C++ etc que te cifran cadenas de caracteres con AES, MD5 etc.

Saludos
Hooker