安全的方式重置忘记的XMPP / Jabber密码

Question

我正在使用prosody（每晚构建）维护XMPP / Jabber服务器。 注册模块已激活，允许用户通过xmpp注册创建新帐户。

一个用户与我联系，询问她如何重新设置忘记的密码。该问题如何识别用户。 （通过prosodyctl重置密码没有问题。）

想法：

• 检查用户名册/联系人，并且她必须验证1-2。 （但是如果名册是空的怎么办？）
• 在个人资料中添加电子邮件，但这不是强制性的（此时，不确定如何阅读添加的电子邮件）

我想为网络浏览器编写一个脚本/工具，以允许用户重置密码，但是如何验证以及使用哪些信息？

这或某些经验是否有任何标准？