Hallo Johannes

Lass die User bei der Passwortvergabe  eine Frage und eine geheime Antwort eingeben.

Wenn Sie ihr Passwort wissen wollen läst du Sie Ihre Email-Adresse eingeben
Anhand der Email-Adresse liestdu die Passwortfrage aus der Datenbank aus
und  läst Sie die Antwort eingeben.
Das vergleichst du dann und schickst über die Mail-Funktion das Passwort an die
enigegebene E-Mail-Adresse (nicht an den Client direkt).
Das ganze ist gegen Missbrauch geschützt und läuft vollautomatisch ab.
Über die Zugriffsrecht brauchst du dir in dem Fall auch keine Gedanken machen.

Andi