Zeph : sauf qu'en pratique, à part si tu forces l'utilisateur à changer le mot de passe avant de pouvoir accéder au site, y'a toutes les chances qu'il ne le fasse pas. Et en transmettant son mot de passe par mail, tu compromets la sécurité.

Donc pour moi, la première solution est clairement meilleure que la seconde.

Tu vas me dire "c'est pas mon problème, c'est celui de l'utilisateur", mais dans ce cas, tu peux aussi laisser tomber le HTTPS (parce que dans le fond, les sites marchands s'en foutent que tu balances tes coordonnées bancaires en clair, c'est aux clients que ça pose un problème )