"el correo electrónico es una forma confiable de llevar datos tan sensibles" No.
¿Muchos sitios web lo hacen? Sí.
Una salvación es hacer que el enlace sea de un solo uso y requiera que el usuario elija una nueva contraseña inmediatamente. De esa manera, si un atacante intercepta el correo electrónico y lo usa para secuestrar la cuenta, cuando el usuario legítimo haga clic en el enlace más tarde, recibirá un mensaje de error y sabrá que algo está mal. Como lo menciona @Xander, esto dista mucho de ser ideal, pero al menos es algo.
Si desea mayor seguridad, piense en agregar un segundo factor a la herramienta de restablecimiento de contraseña, como enviar un código a los SMS del usuario o "¿dónde nació su madre?" escriba preguntas de seguridad, o cualquiera de los otros métodos estándar de segundo factor (debería poder obtener una buena lista de Google).