Den braucht man nur wenn man größere Datenmengen in Umlauf bringt.
Dann kann der Angreifer nämlich Rückschlüsse auf den inneren Zustand des PRNG ziehen und die weitere Zufallsfolge berechnen.
Da aber Passwörter doch relativ kurz sind ist der Rückschluss auf den inneren Zustand nicht möglich.
Wichtig bei jedem Zufallsgenerator ist natürlich das Seeding; aber das gilt ganz unabhängig davon ob der PRNG als kryptographisch sicher gilt oder nicht.

Würde man mit einem nicht kryptographisch sicheren PRNG sehr viele Passwörter erzeugen und der Angreifer hätte einige aufeinanderfolgende Passwörter in die Finger bekommen dann bestünde die Gefahr, dass er auch die nachfolgenden Passwörter errechnen kann.