Esto si no tiene hasheadas las contraseñas en la base, cosa que seria terrible.

La manera correcta es que al solicitar una nueva contraseña, le envíes un token al mail del solicitante, que caduque luego de 10 minutos si no es usado. Con ese toquen le permites acceder al sitio para volver a ingresar una contraseña, o generar alguna aleatoria.