El hecho de no poder establecer su propia contraseña hoy en día se siente algo extraño. ¿Es porque no confían en los usuarios para usar contraseñas seguras, o porque les resulta más fácil generarlos automáticamente? (Pensaría lo último)
En cuanto al envío del nombre de usuario y la contraseña por correo electrónico, no es el único sitio web que lo hace justo después del registro. Si más adelante solicita su contraseña y se la envían nuevamente, significa que la almacenaron en texto sin cifrar. Si, por otro lado, generan una nueva contraseña, es de esperar que no estén almacenándola en texto simple.
Si están usando HTTPS para enviar el correo electrónico, y estás usando HTTPS para leerlo, ¿debería ser seguro? (siempre y cuando, por supuesto, no estén almacenando las contraseñas en texto sin cifrar, e incluso mejor, estén agregando un salt único a cada cuenta)