この件に関しては僕の認識が誤っていました。MT はゲーム等のクリティカルでない用途に使う乱数としては使い勝手が良いものだけど、セキュリティが求められる分野では有効ではないのですね。
session_hash エクステンションのアドバンテージは MD5 / SHA1 より優れたハッシュ関数を使うことで多少解読にかかるコストを大きくできるぐらいで、種の信頼性は PHP 組み込みのものと同程度ですね。

使えるなら /dev/random (/dev/urandom ではなく) を使うのがベター？