Unicamente un link directo a un formulario con un identificador en una tabla aparte para poder saber quien es el que esta intentando restaurar su contraseña, pero no envíes su ID si no un identificador de sesión (no $_SESSION >.<), por ejemplo, en una tabla que se llame restaurarContrasenia creas los campos ID,userID,code,time, solo crea un "code" con una longitud no se, de 15 caracteres alfanuméricos y asociala al ID del usuario.

Ahora, si tu aplicación va a guardar información muy importante y valiosa de tu usuario como para preocuparte de que se envié en texto plano (por ejemplo información bancaria o algo así para ser tan precavido) no tiene caso que busques alternativas, aplica el sistema de pregunta y respuesta para restaurar la sesión y compra un certificado SSL