Ich hinterlasse deshalb hier nochmal die Frage:
Wie sollte man ein (neues) Zugangspasswort übermitteln?

Gar nicht!

Der Benutzer soll das Passwort selber erzeugen.

Gängige Praxis, der User bekommt einen temporären Link als Einmal-Token, der ihn über eine verschlüsselte Verbindung auf ein Formular führt, wo er ein neues Passwort vergeben kann. Welche weiteren Eingaben hier noch notwendig sind, entscheidet jeder Betreiber selber. Gebräuchlich sind altes Passwort, Kunden-Pin, Anwort auf geheime Frage oder Ähnliches. Auch die zusätzliche Verwendung von PIN, TAN oder Token per SMS sind gebräuchlich. Aber wenn der Keylogger beim User nach Hause telefoniert nützt auch eine sichere Schlüsselerzeugung nichts. Das Fliegendepersonal der Lusthansa hat einen Transponder, um sich einen Einmal-Token zu generieren (Ich glaube der war 5 Minuten gültig), wenn die sich ins System per Internet einloggen wollten.