Grácias por las respuestas!!

Creo que lo tengo todo claro pero me gustaria aclarar un punto:

Según lo dicho, si el usuario olvida la contraseña, se le envia un mail para verificar que realmente es el la persona que la ha solicitado, y en caso afirmativo, el usuario clickea el link y se le envia la nueva contraseña puesto que la antigua al estar cifrada no es posible descifrarla.

Ahora pregunto, es mejor de esa forma o de la siguiente ( puesto que he visto las dos por intenet ):

En caso de haber olvidado la contraseña se le envia un link para acceder a la web y crear él la nueva password evitando de esa forma el envio de contraseñas a través del correo. ( Cuano se diese de alta el usuario no le enviariamos la password tampoco por motivos de seguridad ).

Quizá la segunda forma no está tan expandida pero la veo más segura, ¿que pensais?

Grácias de antemano!!