C'è un piccolo rischio per la sicurezza nell'usare il metodo che hai descritto per la conferma di un indirizzo email di nuovi account, ma perché in generale un indirizzo email non valido viene generalmente convalidato. Anche se hai usato un ID molto più facile da indovinare rispetto ai GUID, non troppo può andare male (dal punto di vista della sicurezza) se qualcuno ti tira addosso e si firma con un falso indirizzo email, o con l'indirizzo email di qualcun altro.
Detto questo, non penso che sia l'essenza della tua domanda. Come ha osservato Anders nel suo commento, qualsiasi informazione sensibile è accessibile se qualcuno riuscisse a indovinare con successo un GUID? Probabilmente non per la creazione di account, ma se si utilizza lo stesso tipo di URL per il reset della password, allora abbiamo più di cui parlare da un punto di vista della sicurezza, poiché possiamo valutare la sicurezza del GUID stesso.
I GUID, come suggerisce il nome, sono globalmente unici e quindi non devi preoccuparti delle collisioni. Sono anche a 128 bit, il che li rende difficili da prevedere. (Nota però che alcuni dei bit sono riservati, quindi non hai abbastanza 128 bit di entropia.) Detto questo, sono generalmente non impossibile da prevedere, perché di solito sono generati in base a un timestamp particolare. Se questo timestamp è noto (o è stato calcolato in qualche modo), il numero di tentativi necessari per forzare la forza e trovare un GUID valido in uso è fattibile per conquistare con le moderne attrezzature. Questo può essere mitigato utilizzando GUID in scadenza di breve durata per azioni sensibili come le reimpostazioni di password, ma se si hanno a che fare con informazioni di elevata sicurezza contenute in un account utente, probabilmente si preferisce utilizzare qualcosa di diverso dai GUID come un crittografico sicuro stringa generata casualmente.