Вы не можете - MD5 - это просто «односторонний» хеш, а не средство шифрования данных, которые впоследствии можно расшифровать.
Таким образом, общая идея заключается в следующем:
Отправьте пользователю электронное письмо на его зарегистрированный адрес со ссылкой для сброса. (Чтобы доказать, что они действительно владеют адресом.) Ссылка сброса должна содержать хэш, основанный на некотором аспекте их конкретных пользовательских данных, поэтому его трудно угадать и т. Д. (Например, время создания учетной записи.)
Когда пользователь щелкает ссылку, на которую он попадает, на странице сброса пароля, которая проверяет вышеуказанный хеш, генерирует новый пароль (в идеале сочетание верхних / нижних и некоторых числовых символов, хотя я всегда склонен пропускать такие символы в качестве «0», «o», «O» и т. д. для ясности), а затем отправляет пользователю новый пароль в электронном письме, сообщая ему, что ему следует сменить этот пароль как можно скорее.
Затем пользователь может войти в систему и получить доступ к сайту, как обычно.