pues mira una vez que validas al usuario le creas una cookie con su username

response.cookies("Usuario")=Request.Form ("Usuario")
response.cookies("Usuario").Expires=Date +1

ahora bien ya que el usuario esta en la zona restringida o de usuarios le pones un link a una pagina que tendra un formulario con 2 campos de texto y un boton.

El primer campo de texto sera para que introduzca su nueva clave el segundo sera para confirmarla

y luego pones algo asi

If request.Form("password1")=request.Form(& quot;password2") Then
'aqui creas tu conexion y todo ese choro
'y en el sql pones algo asi
sql="UPDATE TABLA SET PASSWORD='"&request.Form("password1& quot;)&"' where Usuario='"&request.cookies("usuario& quot;)&"'"
'ejecutas tu sentencia sql y cierras la conexion

else
response.write "las contraseñas no coinciden"

end if


saludos :)