Prevent password reset security problem.

It's possible for an attacker to request a password reset
using a variation on an existing user's email which differs
only in case. For ASCII, this makes no difference, but for
unicode, different case may constitute a distinct email
address.

In such a case, it's important we email the password reset
token to the user's email which we have stored and validated,
rather than the variant of it provided and controlled by
the attacker.

If a user has no validated email address, we should not
send the password reset token to an unvalidated (new)
email address, which may not be read or may be controlled
by someone else. In this case we refuse to allow
password reset. The user can recover from this by
validating the email address they provided, or by
contacting support as they are prompted to do.

Merged from https://code.launchpad.net/~tartley/canonical-identity-provider/password-reset/+merge/376991