Enviar un hash es una buena opción. No necesitas enviar variables de sesión. Crea un hash aleatorio de suficiente longitud, asócialo al usuario en la base de datos, y envíalo por correo con un enlace a la página donde cambia la contraseña con el hash como parámetro; en esa página al verificar que el hash y el id de usuario son correctos permitir el cambio de contraseña.