Hi,

Wenn man das passwort vergessen hat, gibt man in ein Formular seine Email-Adresse ein, dann wird geprüft ob die Adrresse genau einmal vorkommt,

unsicher. Die Mailadresse hat man _vorher_ im Account hinterlegt - ausschließlich an diese wird gesendet.

wenn ja wird ein neues Passwort generiert, [...]

Ja, das hat nämlich den Vorteil, dass Du das Passwort gecryptet speichern kannst.

Jetzt frage ich mich nur, wenn jetz ein User, sei es aus Versehen, oder wie auch immer sich 2x angemeldet hat, geht es ja nicht mehr, da 2 Datensätze gefunden werden.

Richtig. Aus diesem Grund _musst_ Du die Angabe des Loginnamens verlangen. Wenn er diesen auch nicht mehr weiß, muss er sich an Dich persönlich wenden, und Du entscheidest mit Deinem Menschenverstand, ob er glaubhaft ehrliche Absichten hat. Es ist nicht schlecht, "menschliche" Prüfungsmechanismen vorzusehen; z.B. die Frage nach dem Mädchennamen der Mutter oder anderen individuellen Daten. Wichtig: Diese Daten zu kennen ist kein _Beweis_, sondern nur ein Indiz.

Cheatah