Единственной возможностью «напомнить» пароль остается его смена. На подавляющем большинстве сайтов новый пароль можно получить указав адрес электронной почты, на который был зарегистрирован аккаунт, после чего в идеале на него должно прийти письмо с ссылкой внутри, перейдя по которой — получишь новый пароль.

Но некоторые сайты пренебрегают безопасностью, и при вводе мыла, если такое имеется в их базе, генерируют и присылают на него новый пароль к учетной записи. В принципе пароль злоумышленник никак не получит таким способом, но представте себе как удивится владелец аккаунта (если он не проверял почту), когда его не пускает сайт? А что если кто-то хочет здорово насолить и будет сбивать пароль каждый день? А если вообще бот под это дело напишет?

Тоесть всего лишь зная мыло участника сайта можно легко сбить ему пароль.

Ради интереса я прошелся по известным движкам и сайтам чтобы изучить где есть уязвимость.
Результаты:

Уязвимости нет	Уязвимость присутствует
Движок форума phpbb	Видимо в студии Лебедева не знают о этой уязвимости, потому они не встроили проверку на imobilco.ru
Движок форума ipb	на момент написания статьи лучший сайт о рыбалке www.rybalka.com
Движок форума vbulletin	football.ua так же присылает свежесгенерированый пароль без всяких проверок
sape.ru	Биржа ссылок LinkFeed.ru
Биржа статей liex.ru
Движок wordpress

Как выяснилось данная уязвимость присутствует в основном в самописных движках.
Как по мне, так это еще один аргумент чтобы программировать под существующие cms.