Hierbei willst du beachten, dass es möglich ist, dass [irgendeinelustigeperson] den Benutzernamen / E-Mail-Adresse eines Benutzers kennt und ein neues Passwort für den Benutzer anfordert. Das ist zwar zuerst kein Problem, da du das neue Passwort (hoffentlich) sowieso an die im System registrierte E-Mail-Adresse schickst, kann aber zu nervigen Situationen führen, wenn du einfach das alte Passwort, durch das neue überschreibst. Es kann ja durchaus sein, dass der eigentliche Benutzer sein Passwort gar nicht vergessen hat und eigentlich auch kein neu generiertes gesetzt bekommen haben möchte.

der Sicherheitswahn ist unbegründet - sollte es sich bei der Seite um relevante Information handeln (zB Banking etc.) so wäre eine e-mail nicht sicher genüg, ist es nciht SOO wihtig - kann man den PW auch plaintext speichern. Die störung wenn einer die Mail kennt - wer macht das schon? und selbst wenn - DER eine von 2 millionen wird damit schon klar kommen. WOgegen soll den verschöüsselte PWspeciherung schützen? sollte es einer Schaffen die DB zu hacken, scahfft der es auch den geschützten Bereich zu knacken.
Grundsätzlich - übertrieben Schutzmasnahmen würden die Interesse der Hacker eher erwecken, wie es mit Schlössern der fall ist ;)
Foolproof muss die Seite sein mehr nicht.
MFG
bleicher