Oder man bleibt beim Hash:

Wenn der User sein Passwort vergessen sollte dann wird ein neues ZufälligesPW erzeugt und von mir aus in einer anderen Tabelle abgespeichert. Dann wird des an seine email adresse geschickt und er hat 24h sich anzumelden bevor das neue PW seine gültigkeit verliert. Sobald er sich dann einloggt muss er ein neues PW angeben. Dies wird verhasht in der DB überschrieben und das zufällig erzeugt gelöscht.

Ja ich weiss des ist ein bisschen aufwändiger dafür aber viel sicherer (oder hab ich einen Denkfehler?)


//edit: @benst: Wieso ist MD5 nicht mehr sicher???