Не особо безопасно. Имхо.
Объясню...
Как правило ломают почту, а не аккаунт. Поэтому на почту все слать не безопасно! Увы! :(
Лучше сделать что бы пользователь сам придумал его. Потом увидеть его нельзя, сбросить только через админа путем запроса на почту(опять же, через админа!) и прочих танцев с бубном(проверка IP как минимум, отпечаток браузера, куки и т.д.).