Parece que plaintextoffenders.com ve el envío de una contraseña de recuperación de texto sin formato como incorrecta. En su lugar, un enlace para establecer una contraseña es mejor. Pero ¿cuál es la diferencia? Si un usuario sigue un enlace y establece una contraseña, o si obtiene una contraseña, inicia sesión y la cambia, el peligro parece ser el mismo. Si alguien intercepta el correo electrónico entre seguir el enlace o iniciar sesión y cambiar la contraseña, ambos pueden hacerse pasar por el usuario.
Para ser claros, me refiero a una nueva contraseña temporal. Solo los hashes de contraseña (PBKDF2, scrypt, ...) se almacenan en el servidor.
EDIT
Ya que me preguntan por qué creo que los usuarios de texto sin formato incluyen nuevas contraseñas, eche un vistazo. Actualmente, 5th , 6th , 7th , y 8th son contraseñas explícitamente nuevas.