Hallo,

es so wie du geschrieben hast zu machen scheint ja üblich zu sein und ich selber finde das eigentlich ausreichend.

Ich würde nur empfehlen: Lass dir vor Regenerierung des Passworts per E-Mail bestätigen, dass wirklich ein neues Passwort angefordert wurde um zu umgehen, dass Besucher mit öffentlicher E-Mail-Adresse durch ständig wechselnde Passwörter genervt werden. Hat jemand sein Passwort vergessen erhält er also dann zwei E-Mails:
1. Wolltest du ein neues Passwort?
Falls ja (Bestätigungslink angeklickt): 2. Dein neues Passwort lautet: ...

Wenn du wirklich die Sicherheit erhöhen willst, dann könntest du die Benutzer zur Eingabe ihres realen Namens und Geburtsdatums sowie Geburtsortes zwingen um ihre Identität am Ende per Personalausweis abgleichen. Das würde ich aber in den meisten Fällen als arg übertrieben empfinden. :-)

Viele Grüße,
  Johannes Röckert