Igen, jo! Megpedig 1 olyan okbol, amit meg nem lattam leirva: a password reset -et is az email cimre kuldik, ergo egy esetleges attacker, ha megvan a hozzaferes az email-hez, akkor mar tokmindegy, barmely site-on password reset-tel bejuthat (2FA eseten persze nem).
Az otlet imho teljesen jo, meg annyit, hogy a szerveren nem az email-ben kuldott (eros random-mal generalt) token-t tartanam, hanem annak sha hash-et. Esetleges dump eseten meg mindig biztonsagos.