По-моему, когда включена настройка сайта hide_email_address_taken, сброс пароля возможен только через ввод адреса электронной почты. В этом случае знание имени пользователя уже не поможет. Эта настройка недавно была включена по умолчанию. Если она ещё не активна, её включение может помочь предотвратить сбросы пароля.