Io invierei un link di controllo con il messaggio del tipo.....

E' stato richiesto il cambio della password, se è vero che vuoi una nuova password segui il seguente link (con one time password)

se l'utente entra con i dati giusti gli generi una nuova password oppure la fai direttamente scegliere a lui

ciao