per una nuova password dovresti far inserire nomeutente o mail.. o entrambi al tizio in questione.
fare un controllo che esista quella mail nel tuo DB, a quel punto creare una password random ed hasharla. fare l'update sul suo account e inviargliela per mail.. non hashata naturalmente..

purtroppo non posso aiutarti meglio perchè non ho strumenti dove sto..