Bueno, parte del procedimiento podría considerarse inseguro: cuando un usuario tiene acceso a su cuenta de correo electrónico Y sabe en qué sitios web puede haber registrado cuentas (como FaceBook, Twitter, Google y el lote). Este es probablemente el problema de seguridad más simple y obvio que pueda surgir aquí.
También podríamos echar un vistazo a las preguntas "¿se puede interceptar el correo electrónico de alguna manera" y "es ese enlace de recuperación usando una clave fuerte y aleatoria o alguien podría adivinarlo" ... pero supongo que eso es una exageración? Para el escenario habitual de recuperación de contraseñas que describió, diría que el único "problema de seguridad" real es el que describí anteriormente: alguien tiene acceso a su correo electrónico y sabe qué sitios debe revisar y recuperar sus contraseñas.
En cuanto al daño que podría causarse ... eso depende de los sitios web para los que el "intruso" puede recuperar contraseñas. Probablemente no le importará perder su cuenta de Twitter en el peor de los casos, pero esto muestra por qué las cuentas bancarias en línea no ofrecen ese tipo de "recuperación de contraseña" en primer lugar. "Podría" haber una posibilidad de que alguien te esté mirando por encima del hombro.
Para terminar, dale una pista sólida con la que trabajar: si su MyApp.com es algo que podría arruinar financieramente a las personas si las pone en las manos equivocadas, no use este tipo de recuperación de contraseña ... pero si Al crear el próximo Facebook o Twitter, está listo para seguir este procedimiento de recuperación.
Espero que ayude. ;)