как тогда отослать пользователю его пароль если он его забудет ?
зачем ему отсылать пароль, который он все равно забыл?
не все равно тогда, какой именно?
конечно можно его заменить в БД на какой либо свои
правильно. Только, конечно, не на "какой либо свои", а на случайный.
И дать возможность изменить.
Вот и все.