Pero la cosa está allí, como se lo vas a mandar, si de nuevo vas a generar un nuevo password, lo encriptas suponiedo que javascript esté activado, recoges encriptado en php para enviarlo, lo único que enviarías al usuario es un password encriptado .


La sugerencia de ray rocus es buena