por eso para pedir dicha generación de recuperación de clave se le pide al usuario que coloque o su nombre de usuario, o correo, si uno de ellos no existe, no se genera ningún código aleatorio.

claro, si un atacante descubre uno de dos, y se logra generar el código el cual llega al correo pero el atacante obviamente no tiene, es donde espesará a invadir la url aplicando hashes aleatorios, la idea es invalidar el primer intento de un hash que no coincida con un mail; así reduces de un tajo la probabilidad de que al n intento logre conseguir el hash correcto, para ese entonces se invalida la regeneración de contraseña.

y concuerdo con @enlinea777, mientras más complejo sea el hash, más difícil vulnerarlo.