No es terriblemente común, pero tampoco es terriblemente raro. Es simplemente una forma de validar el correo electrónico sin tener que almacenar información de estado adicional.
Entonces, es simple, lo que tiene algunos beneficios, ya que la complejidad es el enemigo de la seguridad, por lo que las soluciones simples suelen ser mejores para la seguridad que las alternativas más complejas que hacen lo mismo.
SIN EMBARGO ... sugeriría que, en este caso, no solo es mejor, sino que de hecho es menos seguro y menos que ideal.
La razón principal es que siempre es una mala práctica enviar contraseñas por correo electrónico. Incluso los temporales. Es mucho mejor enviar un enlace que permita al usuario establecer una contraseña siguiendo el enlace. Esto funciona para la validación de correo electrónico, para cuentas creadas de forma asíncrona (por un administrador, o un trabajo por lotes, por ejemplo) y restablece la contraseña cuando un usuario ha olvidado su contraseña. Esto requiere un poco de estado adicional como lo mencioné anteriormente (el enlace debe ser único, y debe recordar el valor para cuando el usuario haga clic en el enlace y regrese), pero esto no es todo. No solo significa que la contraseña nunca debe enviarse al éter en texto sin formato, sino que también le da un solo punto (el token) para que caduque si no se ha utilizado en un tiempo razonable, y para verificar que no se use. -utilizar. (Un solo token debería funcionar solo una vez.)
Entonces, el enlace es decididamente más seguro. Los tokens son más fáciles de proteger con controles de seguridad que las contraseñas, y nunca debe enviar contraseñas en texto sin formato, lo que implica abuso y mal uso.