Potresti creare una prodecura di recupero con controllo...nel senso che hai la pagina dove devi indicare l'indirizzo email dell'utente che deve recuperare la password, se l'indirizzo non esiste e quindi l'utente non esiste non invii nulla, in caso contrario (quindi se esiste) mandi all'indirizzo email un link particolare (tipo quelli per attivare gli account) che serve per accedere alla pagina di conferma modifica password.

Sintetizzato:
1) Richiesta Recuper Password
2) Invio email con codice di controllo e nuova password
3) L'utente segue il link con codice di controllo e viene attivata la nuova password

così sei sicuro che all'utente non possa venire cambiata la password ogni 3/4.

la mail può essere una cosa del genere:
Gentile utente $nick,
le inviamo questa eMail per recapitarle la nuova password richiesta.

Per confermare la volontà di cambiare password clicchi sul link seguente:
http://www.miosito.it/password.php?o...2fed31ab34ecda

Se non conferma la volontà di modificare la sua password rimarrà in vigore l'attuale e questo link smetterà di essere valido tra 48 ore.

Cordiali Saluti,
Supporto miosito.it