Für den Angreifer ist random() dann allerdings auch nicht reproduzierbar da dieser ja nicht weiss in welcher millisekunde genau der User das Passwort erzeugt hat.

Was du machen könntest wäre dass du mehrere Dinge miteinander verknüpfst, z.B. Mauszeigerposition, Uhrzeit und Hardware-ID. Da der Angreifer höchstwahrscheinlich weder Mauszeigerposition noch Uhrzeit noch z.B. Festplattenseriennummer weiss wäre es für ihn leichter eine Spyware zu erzeugen die den Label ausliest.