лучше так: юзер вводит майл -> переходит по ссылке присланной ему на мыло -> авторизуется без всякого пароля - только по тому что перешёл по секретной ссылке -> уничтожаем ссылку для авторизации в базе -> напоминаем пользователю, что он должен поставить пароль, если пароль не поставлен - следующий заход только сбросом через мыло.
malbaron: ну вот я этот способ и написал в вопросе - он мне не подходит, просто мне надо сделать настройки dns чтоб не было листинга на dns поддоменов и чтоб гугль или другие боты не знали этот поддомен вот и все, я уверен, что такая тема есть