ich habe eine Benutzerverwaltung und frage mich nun ob ich die Passwörter verschlüsselt oder unverschlüsselt in der Datenbank abspeichern sollte.

Verschlüsselt. Bei vielen Webhostern sind Deine Daten systembedingt nicht sicher vor Zugriffen anderer Kunden.

dachte ich mir, es wäre ganz schick, wenn ich den Usern, so eine Funktion bieten könnte, wenn sie ihr Passwort vergessen haben.

Diese "Passwort vergessen"-Funktionen senden niemals das alte Passwort, sondern immer ein neues. Teilweise ist dieses neue Passwort auch nur einmal gültig, d.h. man kann sich zwar damit wieder anmelden, muß dann aber sofort das Passwort ändern. Auf diese Art und Weise wird verhindert, daß jemand fremdes, der später -zufällig oder nicht- die Post liest, das im Posteingang oder -archiv gespeicherte, zugesendete Passwort benutzen kann.

Gruß,
  soenk.e