Die Absegnung von Mailbestellungen durch Zurücksenden eines nicht ratbaren Authentifizierungsstrings ist absolutes Standardverfahren.
wichtig ist eben dabei die "nicht erratbarkeit" - aus dem grund auch in meinem thread die angesprochene "nicht nur an die zeit binden" geschichte - wenn die "zufallszahl" lediglich der hash des aktuellen timestamps ist, kann man das eben sehr sehr schnell erraten