In effetti potrei utilizzare la stessa funzione che genera la nuova pass (precedentemente inviata in email), per creare un codice molto più lungo, salvarlo nel db, creare una pagina di verifica e aspettare che il fantomatico "smemorato" si colleghi alla stessa "allegandolo" tramite browser..
Dovrei cmq utilizzarla come variabile di sessione perchè in tempo 24 ore deve essere cancellata.

Pensi sia la scelta più giusta?
Inizio a lavorarci, thx