алгоритм восстановления пароля

Нужен совет по алгоритму. В общем хочу этот процесс так сделать.
1) Вводит свой email, если в базе есть такой, формируем хэш из md5($user_email.date('Y-m-d').$username) и отправляем письмо.
2) В письме ссылка такого рода mysite.ru/recover/полученный хэш;
3) полученный хэш заносим в БД в особое поле где есть 3 ячейки. 1-email 2-полученный хэш 3-Время добавления
4) Если человек по ссылке переходит, то ищется хэш в базе, если по времени прошло не более часу, то предлагаю ввести новый пароль
Нужны советы, что исправить/добавить/убрать

0

Лучше так:
Пользователь вводит email, если в базе есть такой, формируем whirlpool хэш - hash('whirlpool', $user_email.time().$salt); whirlpool - использует 512bit, а md5 - 128bit и она более стойкая ко всяким попыткам взлома и т.д. $salt - это ваша переменная соль с случайными буквами, цифрами и т.д. которая добавляет рандомность и стойкость вашего хеша.
Далее заносим в бд таблицу с запросами на восстановление, e-mail и созданный хеш, вместе с меткой времени и отправляем письмо со ссылкой на скрипт восстанавливающий пароль, в ссылке должен содержатся хеш как передаваемый параметр гет.
При переходе пользователя по ссылке скрипт восстанавливающий пароль должен проверить текущее время и время занесения в базу хеша который передали в ссылке, если времени прошло более 1 часа, не надо восстанавливать пароль и удалить запись с хешем из бд (в E-Mail письме нужно указать что ссылка действительна в течении 1 часа).
Если пользователь уложился в 1 час, то продолжаем восстановление пароля, после того как новый пароль сгенерирован, удаляем запись данного хеша из бд с таблицей восстановления.

1