Moin,

das ist einfach schneller oder?

Zum einen das und zum anderen potentiell zufälliger und damit sicherer als die Ausgabe von rand().

Dran denken dass die Ausgaben von md5() nur ein beschränktes Alphabet haben,
inwiefern ein beschränktes Alphabet?

Eine MD5-Summe ist eine 128stellige Binärzahl die üblicherweise als 32stellige Hexadezimalzahl dargestellt wird, d.h. in der Ausgabe von md5() kommen nur die Zeichen a-f und 0-9 vor. Für jedes Zeichen gibt es also nur 16 Möglichkeiten, was deutlich weniger als die 26 Kleinbuchstaben ist. Wenn man denn unbedingt einen fertigen String haben will (den man übrigens sinnvollerweise mit substr() statt chunk_split() zerlegt), dann sollte man sich lieber an die Ausgabe von base64_encode() halten, das erzeugt immerhin 64 mögliche Zeichen (plus "=" welches aber nur am Ende vorkommt).

das kommt darauf an wie sicher das Passwort sein soll

So stark einschränken muss man die Anzahl der möglichen Passwörter ja nun auch nicht künstlich.

:-) - aber manches dürfte doch etwas oversized sein, oder? Ich weiß nicht, ob jeder Dau eine hochgestellte 2 oder 3 hinbekommt :-)

Einfach Alt Gr+2 bzw. 3 drücken, steht doch auf der Tastatur draufgedruckt (auf meiner zumindest :). Wer ein @ hinbekommt, sollte das auch schaffen. Ich mache mir da schon eher Sorgen bezüglich unterschiedlicher Zeichensätze, weswegen es sich lohnen könnte das Alphabet auf die Kleinbuchstaben, Großbuchstaben, Zahlen und noch ein paar Satzzeichen einzuschränken.