ma invece di inviare una "password" perché non inviare un codice per accedere ad una pagina dove l'utente inserisce la sua password? è molto più userfriendly

sia invia via e-mail un link con appeso un hash md5 che fa riferimento alla propria richiesta di password e si accede per cambiarla