Jupp, das sind 2 E-Mails. Die 1. E-Mail enthält einen Link zur Anforderung des neuen Passworts. Dieser Link enthält als Parameter einen Hash, den ich zuvor in der Benutzertabelle beim jeweiligen Benutzer eingefügt habe. Anhand des Hashs kann ich den Benutzer somit identifizieren.
Wird der Link aufgerufen und ein Benutzer mit diesem Hash gefunden, bekommt dieser ein neu generiertes Passwort an seine E-Mail-Adresse geschickt.
Wird die E-Mail ignoriert bzw. der Link nicht geöffnet, dann behält das ursprüngliche Passwort seine Gültigkeit.
Sobald der Link in der 1. E-Mail angeklickt wurde, ist das ursprüngliche Passwort nicht mehr gültig, da es mit dem neuen überschrieben wurde.


Btw: Auf meiner normalen Website ist dies übrgens (noch) nicht so gelöst. Bei meinem Wiki (neu entstanden) habe ich es so umgesetzt.