使用RNGCryptoServiceProvider生成随机字符串

我正在尝试使用一系列可接受字符来生成随机字符串。下面是我的一个可行实现，但我想知道将随机字节转换为可打印字符的逻辑是否会使我面临任何风险或意外地暴露其他内部状态。我保持了可用字符数为256的倍数，以帮助防止在生成的字符串中出现不均匀的偏差。

using System.Security.Cryptography;
class Example {
  static readonly char[] AvailableCharacters = {
    'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 
    'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', 
    'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 
    'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z', 
    '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', '-', '_'
  };

  internal static string GenerateIdentifier(int length) {
    char[] identifier = new char[length];
    byte[] randomData = new byte[length];

    using (RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider()) {
      rng.GetBytes(randomData);
    }

    for (int idx = 0; idx < identifier.Length; idx++) {
      int pos = randomData[idx] % AvailableCharacters.Length;
      identifier[idx] = AvailableCharacters[pos];
    }

    return new string(identifier);
  }
}

使用长度为40的上述示例代码运行10次，输出如下：

hGuFJjrr6xuuRDaOzJjaltL-ig09NNzbbvm2CyZG
BLcMF-xcKjmFr5fO-yryx8ZUSSRyXcTQcYRp4m1N
ARfPJhjENPxxAxlRaMBK-UFWllx_R4nT0glvQLXS
7r7lUVcCkxG4ddThONWkTJq0IOlHzzkqHeMi4ykU
TMwTRFORVYCLYc8iWFUbfZWG1Uk2IN35IKvGR0zX
hXNADtfnX4sjKdCgmvZUqdaXSFEr_c_mNB3HUcax
-3nvJyou8Lc-a0limUUZYRScENOoCoN9qxHMUs9Y
bQPmVvsEjx0nVyG0nArey931Duu7Pau923lZUnLp
b8DUUu6Rl0VwbH8jVTqkCifRJHCP3o5oie8rFG5J
HuxF8wcvHLpiGXedw8Jum4iacrvbgEWmypV6VTh-

我想问的问题是，这个代码相对安全使用还是非常糟糕的想法？最终用户从不看到此标识符，生命周期非常短暂。
附加信息
为了更多地描述标识符的用途，它的预期用途是用作短暂请求的键，用于将信息从一个应用程序传递到另一个第三方系统。由于数据必须通过（不受信任的）用户浏览器传输，我们将实际报告信息存储在数据库中，并为目标应用程序生成此标识符，以便能够检索并从数据库中删除该信息。
由于目标信息位于我们无法控制的第三方系统中（开发方面仍然在内部），我们无法直接对我们的用户进行身份验证，因此此令牌旨在允许识别用户并使用存储在数据库中的信息运行报告。报告本身必须面向公众（在互联网上）而不需要身份验证（因为大多数用户没有第三方系统的帐户），并且由于报告涉及HIPAA / FERPA数据，我们希望尽可能确保即使在攻击者控制下，他们也无法生成有效的请求。