url+Token sind identisch zur Passwortübermittlung, sofern man gezwungen ist, dass Passwort bei Erstlogin zu ändern. Außerdem muss ein Gültigkeitszeitraum für Token wie Initialpasswort gegeben sein.

Einen nachvollziehbaren Sicherheitsgewinn gibt's aber erst mit 2FA.