Solo necesitas la tabla de usuarios, le adicionas el campo Aleat y le incluyes uno campo más, Activo por ejemplo, que puede tener valor 0 por defecto de manera que todos lo registros se crean inactivos y cambiarán de estado luego de la verificación del aleatorio.
Sería bueo además que las variables que pasas por GET las envíes encriptadas en combinación con un token que también puedes agregar a la tabla usuarios.