Наличие его в письме никак не означает наличие его в БД. Хоть старый, хоть новый, хоть пользователем придуманный, хоть сервером - назачем его хранить то?

Вы что, никогда не видели процедуры "восстановления" пароля, по которой присылается не пароль на доступ к акку, а пароль и ссылка по которой:

- введите код, который пришел в письме;
- введите новый пароль;
- подтвердите новый пароль.

?

А в этой ссылке кроме самого урла есть так же хеш, пароль, код - назовите как хотите.

И для порядку, на странице должно быть поле, в которое этот код можно ввести вручную (мало ли, не получается из письма по ссылке пройти).

Вот об этом способе и речь. Хотя конечно, не знаю, что именно имел ввиду Hett, но буду удивлен, если он имел ввиду не что-то подобное, а именно хеш от логина, который нужен серверу, но не юзеру ))

Вопрос был о новом, а не о старом

Может у них БД защищена получше всех Пентагонов и ФБРов вместе взятых!