んっと。最近また散見されるモノへの言及です。
いわゆる「パスワードリマインダ」というものがあるかと思うのですが。個人的にアレに対してはかなり懐疑的…というか、ぶっちゃけ「蛇足なだけ」だと思っております。
とりあえずその後の挙動から２パターンに切り分けて言及してみたいかと。

1.入力したリマインダの情報(＋メールアドレス or ユーザID)が正しければ、登録されたメールアドレスにパスワードを送信する
んっと…単純に「いらない」のでは？
まぁ、強いていうのであれば「メールアドレスをランダムで、シェルでも使って叩き込んでちょっとしたSMTPdに対するDoSをかける*1」状況が防げるような気がしないでもないのですが。
この状況下においてなお「せめて"リマインダを使う/使わないの選択"くらい個人でさせて欲しいなぁ」と思ってみたりします。
なお「メアドとかリマインダ内容とかが間違えてもエラーだって画面に出さない」ってのはデフォルトで共通見解って事でOKですよね？(出しちゃだめですよ？ セキュリティホールになるんですから)

2.入力したリマインダの情報(＋メールアドレス or ユーザID)が正しければパスワードを表示する
一言で片付けてみたいかと。「やめれ」。
何が怖いって、リマインダーの入力時の促し文句とか色々考えて「誰にでもわかるような安易な内容にすることが多い」って事象が多々あるので。
いやまぁその前に「表示できること自体が」って議論も成立しえますし。

多分、一部で「セキュリティ上の常識」っぽくなっちゃいるんでしょうが。もうちょっと冷静に考えてみたいものですねぇ。