Para comenzar, el "tutorial" esta mal, no puedes iniciar un session_start(); después de una salida (echo, print o código HTML), ahora, no puedes estar sacrificando usabilidad por seguridad en una herramienta que van a utilizar cualquier persona, ya que cuando la herramienta es muy complicada de utilizar la gente la abandona...

Para recuperar una contraseña no hay mejor forma que enviar un link en la que se envia a un formulario para crear una nueva contraseña, obviamente el acceso esta restringido a un tiempo determinado, ahora, tampoco puedes ser tan extremo y paranoico en limitar el acceso a 1 min, recuerda que no siempre el email sale en el momento, puede tardar en salir o llegar al buzón un limite de 5 o 10 min esta perfecto