А вот этого мы утверждать не можем, пока не увидим механизм/код создания вот этогоВообще никак не связано. ТС вообще ничего не говорил про мд5, про мд5 завел разговор edward_freedom, и при этом мысль его была где-то рядом с правильной, но реализация на троечку с минусом, хотя скорее всего навеяна была именно созданием хешей пароля в древних реализациях авторизаций на пхп. В данном случае строка для генерации хеша как раз должна сдержать минимальное количество информации из пользовательских данных (а желательно не иметь их в составе вовсе).
А в целом безопасность такого механизма норм?Ровно такая-же как и при использовании сессий, за исключением механизма генерации "рандомной" строки, которая достаточно хорошо реализована в механизме сессий, а в вашем случае о нем вообще ничего не известно. При равном уровне исполнения сессия выигрывает только удобством пользования, но вы тоже можете обернуть свой костылик в какую-то оболочку и воткнуть в базовый контроллер, получив доступ к похожему механизму. Собственно в большинстве популярных фреймворков есть стандартные реализации сессии не через сессии пхп.