Du könntest folgendes (meiner Meinung nach sehr intelligentes) Verfahren anwenden:
Wenn der Benutzer sein PW vergessen hat, kann er ein Neues anfordern.
Du generiert ein zusätzliches 2. Passwort (zufällig aus 8 Buchstaben & Ziffern) und speicherst es beim User und sendest es per EMail.
Zusätzlich speicherst du Datum & Uhrzeit.
Das orginale PW bleibt erhalten !!!
Beim Login prüfst du einfach das Hauptpasswort.
Sollte dies fehlschlagen kommt das 2. Passwort ins Spiel. Allerdings darf es nicht älter als 24 Stunden sein; ist es älter, ignorierst du es.

Vorteile:
Passwort muss nie im Klartext gespeichert werden (ausser in der EMail)
Wenn ein Scherzbold ein PW anfordert, kann der richtige User sich trotzdem anmelden, auch wenn er die EMail nicht gelesen hat.