Hola talcual:

Cuando te piden dos veces el password no es para guardarlo en otro campo de backupo sino pierde sentido la seguridad!

Te piden dos veces el password para asegurar que no te equivoques al escribirlo, eso es todo, los dos campos deben coincidir.

Hola mvlsistemas: la mejor forma es generando (como ya han dicho) un nuevo password y enviándolo por email.

Ahora ten en cuenta que muchas veces gente malintencionada puede generar passwords para usuarios que no lo pidieron y de esa forma entorpecen el funcionamiento de la web.

La mejor forma de hacerlo es:

Paso 1:
Cuando un usuario pierde el passwrd va al sitio y solicita uno nuevo.
En el sitio sólo le pides el email nada mas que eso.

Paso 2:
Corrobora que el pasword corresponda con un usuario y si corresponde entonces le envías un link por mail que contenga en la url un código unico.

Paso 3:
Cuando hacen click en el link ahi lo llevas al site que al corroborar que el código es verdadero le dejar elegir otro password.


Obviamente este en una fomra mas de las infinitas posibilidades y todo ya depende de tu imaginación donde haya un equilibrio entre seguridad y funcionalidad.

Saludos