Hay poco riesgo de seguridad en el uso del método que describió para confirmar una dirección de correo electrónico de nuevas cuentas, pero eso se debe a que hay poco riesgo de seguridad en general si se valida una dirección de correo electrónico no válida. Incluso si usó un ID mucho más fácil de adivinar que los GUID, no demasiado puede ir mal (desde el punto de vista de la seguridad) si alguien lo controla y se registra con una dirección de correo electrónico falsa o con la dirección de correo electrónico de otra persona.
Dicho esto, no creo que esa sea la esencia de tu pregunta. Como lo mencionó Anders en su comentario, ¿se puede acceder a información confidencial si alguien pudiera adivinar un GUID con éxito? Probablemente no para la creación de la cuenta, pero si usa el mismo tipo de URL para restablecer la contraseña, entonces tenemos más de qué hablar desde un punto de vista de seguridad, ya que entonces podemos evaluar la seguridad del GUID en sí.
Los GUID, como su nombre indica, son únicos a nivel mundial y, por lo tanto, no tienes que preocuparte por las colisiones. También son de 128 bits lo que los hace difíciles de predecir. (Tenga en cuenta que algunos de los bits están reservados, por lo que no tiene 128 bits de entropía). Dicho esto, generalmente no son no imposibles para predecir, ya que generalmente se generan en base a marca de tiempo particular Si se conoce (o se determina de alguna manera) esa marca de tiempo, es posible vencer con el equipo moderno la cantidad de intentos necesarios para atacar con éxito la fuerza bruta y encontrar un GUID válido en uso. Esto puede mitigarse mediante el uso de GUID de caducidad de corta duración para acciones sensibles, como el restablecimiento de contraseñas, pero si está tratando con información de alta seguridad contenida en una cuenta de usuario, es probable que sea mejor que use GUID, como criptográficamente. cadena segura generada aleatoriamente.