Se un minimo conosci i servizi offerti su internet noterai che nessuno adotta questa politica.
Invece, mi è capitato qualche volta, anche se più raramente, chi inviava la password tramite email e se desideravi rinnovarla veniva rigenerata e rinviata sempre per email. Sono le pochissime password alfanumeriche che non ricordo mai (giusto 2-3) e quasi mai uso.

L'email NON è un canale sicuro, sicuramente non più degli altri. A meno che l'utente che scarica la posta non usi connessioni SSL/TLS o STARTTLS
Appunto. Gmail, Hotmail, Yahoo mail, Alice, email concesse dai server che offrono servizi di hosting pagati, ecc. tutti usano HTTPS, ovvero HTTP con protocollo di sicurezza SSL o TLS. Quale email oggi non usa una connessione protetta per scaricare la posta? Ecco, perché dico che l'email è un canale sicuro. Comunque, certo non l'email in sé per sé, facciamo questa precisazione: una email che usa HTTPS è sicura? La risposta me l'hai data, dunque è sì.

Le password non vengono memorizzate sotto forma di hash per impedire che gli amministratori possano accedere alle aree utenti ma piuttosto per impedire che nal caso il server venga violato il pirata di turno non abbia accesso a tutte le password degli iscritti al sito
L'eventuale pirata non avrà accesso alle password in chiaro, ma se è arrivato ad avere un accesso del genere, manco gli servono più le password, perché prende direttamente tutti i dati sensibili memorizzati... Comunque un HASH si può sempre usare, in qualche modo meglio sì che no.

che c'entra lo storage dei dati? Dati critici o credenziali di autenticazione dovrebbe sempre girare su HTTPS.
Lo storage dei dati è un caso in cui i dati che metto sul server servono solo a me. E' l'unico caso in cui posso criptarli con una password nota solo a me e non presente sul server, per cui questi dati potrebbe finire teoricamente ovunque, ma solo io saprò leggerli. Comunque non ha importanza, era solo una parentesi, non è questo il caso che mi interessa.

HTTPS?? con le email?? A meno che uno usi una webmail nessuno usa https con le email anche perchè i protocolli per la gestione della posta elettronica sono pop3, imap e smtp. Tali protocolli sono notoriamente insicuri per il fatto che viaggiano in chiaro
I protocolli pop3, imap e smtp vengono utilizzati quando un'applicazione viene configurata per gestire la posta su server che se ci accedi direttamente usano HTTPS ed il beneficio di HTTPS va a farsi friggere, mannaggia. Effettivamente penso che non pochi utenti abbiamo il cellulare o configurano un account di posta per leggere gli altri account o configurano Thunderbird con questi sistemi... il che non mi consente di utilizzare il canale email per la password. A questo non avevo pensato (perché uso direttamente le email sull'interfaccia del browser e vedo HTTPS sempre). Grazie.

Tutto molto confuso... non ci ho capito un granchè...
La parte finale era poco comprensibile perché non l'ho spiegata, avevo dato solo alcune parole chiave per far intuire un metodo che avevo in mente, però ci tengo a comunicare la password in modo sicuro (insomma se salta questo punto, addio), contavo sull'email, ma non ho considerato che si usa spesso pop3, imap e smtp, mannaggia. Mmmm, la prima alternativa che mi viene in mente è usare il metodo RSA, però senza un garante delle identità c'è il problema dell' "uomo nel mezzo".

Esiste un sistema per impostare alcune email affinché si rifiutino di essere lette o inviate con pop3, imap e smtp? Mi pare proprio di no, ma sarebbe stato risolutivo. Potrei dire agli utenti al momento della registrazione, di leggere l'email inviata direttamente sull'interfaccia concessa dal servizio email che utilizzano senza leggere l'email con pop3, imap o smtp in una seconda applicazione, perché altrimenti c'è la possibilità che in questo frangente qualcuno intercetti la password.

Tutto sommato mi sembra un'operazione meno pericolosa del classico invio della password con HASH. Utenti mediamente esperti seguirebbero l'indicazione di leggere l'email in modo diretto da chi offre il servizio email, molti altri utenti potrebbero restare più confusi, leggere l'email nella classica maniera ed esporsi per un momento ad un rischio intercettazione. Ora come ora, se uno non può avvelersi di HTTPS per il proprio sito, mi sembra il male minore.