Szukam najlepszej metody wdrożenia funkcji „zapomniałem hasła”.

Mam 2 pomysły:

Gdy użytkownik kliknie na zapomniałeś hasła, użytkownik musi wprowadzić nazwę użytkownika, e-mail i być może datę urodzenia lub nazwisko. Następnie wiadomość e-mail z tymczasowym hasłem zostanie wysłana na konto e-mail użytkownika. Użytkownik używa tymczasowego hasła do logowania i resetuje swoje hasło.

Podobny, ale e-mail będzie zawierał link umożliwiający użytkownikowi zresetowanie hasła.

Czy ktoś może mi zaproponować lepszy i bezpieczny sposób? Myślę też o wysłaniu tymczasowego hasła lub linku, zmuszeniu użytkownika do zresetowania hasła w ciągu 24 godzin, w przeciwnym razie tymczasowe hasło lub link nie będą użyteczne. Jak to zrobić?