Pues yo supongo que lo que se hace es guardar en una tabla el usuario y el código de activación . Cuando el usuario hace click en el enlace se comprobará que ese código existe en dicha tabla y permitirá que se meta la contraseña para el usuario asociado a ese código. Se supone que esos códigos son lo suficientemente complejos para que nadie pueda meter uno a voleo y de la casualidad de que exista en la tabla. No sé si funcionará así pero creo que sería una manera factible de hacerlo.