別に衝突が1回発生するくらいなら件のコードでそうされているように再試行すれば良いだけで、衝突の例が見つかればこの世の終わりみたいな暗号学的ハッシュ関数などとは事情が違うか。ID生成器に対して有効な攻撃が成立する条件はID生成の平均コストないし失敗率を大幅につり上げることだろうから、それを防ぐには26 bitsもあればまあ十分かな？

ただ、生成のコストについてはともかく、失敗については一度でも発生したらこの世の終わりではないにせよ、特に攻撃的でないリクエストの場合においてはそこそこ困る部類のエラーであるな。まあ最大100回も再試行すれば本当に運が悪ければ応答が遅くなるものの、失敗にまで至ることは十分稀といえるか

もし平均の再試行回数を100近くまでにつり上げることが出来ればDoSが成立してしまうだろうけど、そのレベルの衝突率に持ち込むにはそれまでに膨大な数の攻撃的なリクエストを受け付けさせる必要があるわけで、それを弾けていないとすればそもそもIDの衝突が云々とか言っている場合ですらない事態だろうし