んっと。割合に良くある作りなのですが。
・パスワードを忘れたらメールアドレスを入力するとそこにパスワードが届く
ポピュラーな機能のわりに、突っ込みどころ満載です。

死んでもやっちゃいけない例
・メールアドレスの入力がミスってたら「違うよ」って出力してあげる
ユーザフレンドリーです。ついでにクラッカーフレンドリーです。やめましょうよしましょう。
これって、バッチ組むと「そのサイトに登録している人の生きているアドレスがゴロゴロっとゲット」出来ちゃいます。
入力後に出す画面は、正しかろうが間違っていようが、1bitたりとも違わない画面を出力すべきです。

やるともぁべたぁな例
・送られたパスワードは一時的なものになっている
パスワードを変えつつ、そのパスワードからのログインは「機能を制限」しておく(パスワード変更以外の機能が使えず、当然個人情報も見れない)。さらに期間も制限しておくと良い感じですね。
ただ、この場合認証状態で「認証」「非認証」のほかに「一時認証」という状態が必要になるので、作り次第では難しいんですが。

いつもやっている「毎度おなじみデファクトパターン」。一度考察しなおしてみると良いかも、という好例です。