Lo ideal es no guardar la contraseña directamente en tu base de datos, sino encriptada (md5), con esto aumenta un poco la seguridad, pero obliga a "resetear contraseña" cuando un usuario no la recuerda y ese proceso yo lo hago mas o menos asi:

1- El usuario ingresa nick o email en un formulario
2- Verifico que el nick o email existan, creo un par de variables, una llave (10 caracteres) y una cadena de verificacion (20 caracteres) que guardo en base de datos, directamente en el registro del usuario
3- Envio mail al usuario para notificar que inicio el tramite para reestablecer su contraseña, con el link a otro formulario donde ingresara los datos enviados
4- En el formulario para completar el proceso pido:
---- nick
---- llave
---- cadena de verificacion
---- nuevo pass
---- confirmacion de nuevo pass

Si el usuario lleno correctamente los datos, entonces elimino del registro la llave y la cadena de verificacion y actualizo el nuevo pass, enviando otro correo al usuario para confirmar que el proceso se completo.