Pa ako nemas password u plaintext-u onda nikako sem ako neces da razbijes procesor od brute-forc-a :))).
Mada ono sto bi ti mogao da uradis je da mu promenis password na neki slucajno generisani i da mu taj posaljes na mail. Normalno ovde postoji nedostatak kako da
proveris da li je to korisnik koji je stvarno zaboravio sifru ili ne (ja bih mu trazio sifru pa ako ne uspe iz tri puta onda bih mu poverovao) -- postavljenjem nekog dodatnog pitanja ili cega vec

U tvom slučaju je najbolje rešenje generisanje novog passworda i slanje istog korisniku na email.

Tako sam neshto i pretpostavio, samo mi je bilo chudno kako to da gde god se prijavim ima opcija da mi shalju password i uvek mi shalju onaj moj ... znachi da ga drze u plaintextu ili nekako enkriptovanog da moze da se dekriptuje ... mislio sam da je drugachije

Hvala

Ili ih drže u bazi kao plaintext, ili ih kriptuju nekom dvosmernom metodom. Imaš u php-u par takvih funkcija, potraži malo po manual-u..

ne vidim nista lose u drzanju passworda u plain text formatu u bazi

Ma znam ja vec te funkcije ... nije to problem

A shto se tiche drzanja u plaintextu, nije da nije bash sigurno, kao tu je baza ima i user i password i sve to, ali kada se neke ozbiljnije stvari rade, bolje je enkriptovati [npr iako se neko dokopa user/pass za bazu ..opet ne moze da iskoristi nishta ako je enkriptovano]

a ako upotrebi funkciju za dekriptovanje? ima ih samo 5 pa pogodice sigurno pravu...

Pa prvo, kada sam rekao enkriptovane u bazi, mislio sam na jednosmernu enkripciju koja se ne moze dekriptovati

A drugo i da je druga vrsta enkripcije koju je moguce dekriptovati, opet je potrebno provaliti kojim key-em je enkriptovana

...u svakom sluchaju dosta sigurnije reshenje od plaintexta