Этот универсальный дизайнерский приём называется «объединение»: подтверждение и обновление объединяются в одно действие для упрощения сценария.
Если ваш сценарий восстановления пароля нельзя заменить на другой, я бы предложил вводить в действие новый пароль только при первом использовании. В этом случае злоумышленники не смогут навредить.
Этот универсальный дизайнерский приём называется «объединение»: подтверждение и обновление объединяются в одно действие для упрощения сценария.
Однако присылание нового пароля — исключительно бесполезная мера. Если вы не Человек дождя, вы никогда его не выучите. Эта процедура в итоге просто заменит собой обычный ежедневный вход на сайт, особенно если вы не даёте браузеру запоминать пароли.
Если пароль забыт, стоит присылать ссылку на страницу со сменой пароля и не слишком усердствовать с проверкой на «криптостойкость». Никогда не забуду, как минут двадцать пытался придумать новый пароль к Фейсбуку.