Yo haria lo siguiente:

1 - El usuario introduce el email para que se le envie la contraseña
2 - Enviamos un email con los campos time y el email del usuario , no la pass aun y te explico por que , imaginate que un usuario introduce emails por aburrimiento y entonces se van a cambiar contraseñas de usuarios que no lo han solicitado ,para que no suceda eso el campo de la contraseña no lo tocamos aun , entonces quedaria todo tal cual estaba sin cambiar nada, entonces solo enviamos time y el email en el link , y especificamos al usuario que si el no ha solicitado la recuperacion de su cuenta borre el email y se olvide de el tema y si es cierto que lo ha pedido que puse en el link
3 - el usuario hace clik en el link y llega a la pagina donde vamos a verificar el campo time para la caducidad si esta bien el email donde se va a realizar los cambios y un formulario para asignar la nueva contraseña y si esta bien le decimos que todo este correcto y que se loguee .

otra opcion es la siguiente:

2- enviamos un email con el pass aleatorio pero asi , sin link solo enviamos el pass en texto plano

usuario: tal tal
emial: tal tal
password nuevo : 768hg87g8b7

3- modificamos el pass anterior por el nuevo en la bd y que el usuario ya se loguee cuando quiera y dentro en el perfil una opcion para modificar su contraseña por una nueva despues de loguearse la primera vez e incluso puedes poner caducidad a la pass nueva y si no se loguea despues de x tiempo deberia volver a pedir otra pass