Un compte utilisateur qui n'a pas de mot de passe peut en obtenir un par la fonctionnalité de mot de passe oublié

Lorsque je m'abonne à la newsletter, un compte utilisateur est créé sans mot de passe.
Il est ensuite possible de se voir attribuer un mot de passe en utilisant le lien "J'ai oublié mon mot de passe". A la consultation de l'écran de réinitialisation, je peux ainsi voir :

• mon login (que je ne connaissais pas non plus)
• mon mot de passe

Je peux donc me connecter alors que mon compte n'est pas prévu pour cela.

Il faudrait donc bloquer la fonctionnalité si je n'ai pas déjà un mot de passe.
Et peut-être ne pas afficher le login sur l'écran qui me présente mon nouveau mot de passe, car je suis censé le connaître ?