Это должен быть не хэш пароля, а случайный набор символов, который генерируется при нажатии «восстановить пароль» и у которого определенный срок годности.
Такая ссылка может попасть в history браузера и т.п. (помните про попадание в поисковики ссылок на заказы в инет-магазинах?)
