Длинные хеши помогут от перебора со стороны, но также не стоит забывать, про то что в 2019 году практически невозможно передать ссылку безопасно, даже если невозможно её подобрать.
Почта, мессенджеры, соц сети - какой источник не возьми, везде идет анализ текста сообщений на наличие ссылок, а зачастую еще и создание превьюшек для них.
Как вариант решения проблемы - отправка кода на сервер через js код, который было бы трудно эмулировать на сервере. Подобным образом работаю некоторые сервисы защиты от DDOS.
То есть, после того как пользователь перешел по ссылке, не сразу авторизовываем его, а просим выполнить какое-нибудь простенькое действие (в стиле нажми на кнопку), которое уже запустит редирект на настоящий url авторизации.
Конечный Url естественно не перессылаем открытым текстом - можно вычислять его на основе первого хеша или спрятать в загружаемых ресурсах (в пикселях фоновой картинки например или в шрифтах).
SSL никак вам не поможет - оно про другое.
