Yo utilizo la segunda. Nunca envio passwords por mail. Cuango genero el mail para resetearla, el link que recibe le redirecciona a una pagina para volver a generar una password. Yo lo hago de la siguiente manera:

1. pagina remember_password.php
contiene un formulario con para introducir su Email. (Los emails son únicos, no dejo crear dos cuentas con el mismo email). Dentro del formulario hay un input oculto donde genero un codigo aleatorio y lo inserta en su registro ($set_password). Cuando le envio el mail, el link contiene esta variable: <a href='activar_nueva_password.php?set_password='$se t_password'></a>

2. Cuando llega a la pagina de nueva contraseña, recojo la variable $set_password por $_GET y compruebo que: a) el id_usuario coincide el $set_password, enviado. Si coincide dejo

3. Una vez compruebo todo lo anterior, introduce una nueva password y lo redirecciono a su zona privada.

Espero que te sirva. Saludos