Er is natuurlijk een prima alternatief: inloggen via de social media, die wachtwoorden heeft iedereen wel in zijn hoofd, en als je op je browser toch al bent ingelogd is het slechts een klik op de knop.

1. Ja, is veilig
2. Een string van 5 tekens kan al veilig genoeg zijn
3. Random tekens zijn prima, zolang jij maar weet hoe ze gegenereerd zijn.

Voorbeeldje in php;

Code:

<?
$id = $_GET['id'];
$key = $_GET['key'];


$salt	= 'U#c8|0K@~Aj)q^<-b!=IQS>`E!;w65~UaC[d&QjW>tW0jV-n-H 1*?UTkJ@MHMLU';
$salt2 = '{X-sJ ;}zm 3-L%1*>Se=!L`t!qNO$6?5I]B*[07q)w?Ud+]04z;$AAA2CR[Njtd';

// debug
$testID = $_GET['id'];
$out = md5($salt.md5($salt2.$testID));
echo $out.'<hr>';


if (md5($salt.md5($salt2.$id)) == $key){
	// ok
	die('welkom');
}else{
	die('helaas, deze pagina bestaat niet');	
}
?>

.htaccess bestand;

Code:

RewriteEngine On
RewriteRule ^([0-9]+)/(.*)/?$ index.php?id=$1&key=$2

Live voorbeeld;
http://a149347.sb1.dev.codeanywhere....043278afc9a96d

Wanneer je in dit voorbeeld '11421222' aanpast wordt automatisch de nieuwe 'key' gegenereerd

Je kan ook zo'n inlog link een geldigheid meegeven...dat iedere keer dat het opgevraagd wordt maar 5 minuten ofzo geldig is. En nadat het gebruikt is, verwijder je het uit database of zet je de status op gebruikt.
En anders gebruik een social login.