NULL ist hier höchstens daß, was Du von der Frage verstanden hast ...
Es wäre KEIN Sicherheitsrisiko, wenn man bei einer erneuten Passwortanforderung anstelle des Benutzernamens die registrierte e-Mail angeben könnte. Alle Benutzernamen sind im Mitgliederverzeichnis offen einzusehen, die Mailadressen NICHT, wo ist also die potentielle Sicherheitslücke?
"Schlimmstenfalls" bekommst Du vielleicht unaufgefordert ein neues Passwort verpasst... Wobei das mit dem Benutzernamen (s.o.) deutlich leichter wäre

Ich habe auch in ein paar Foren andere bzw. leicht abgewandelte Benutzernamen, weil man eben nicht davon ausgehen kann immer "seinen" Namen zu bekommen. Cookie sei Dank war ich bisher nicht in der Situation den einen oder anderen Namen erraten zu müssen, aber wenn der mal weg ist, was dann?