bhè, alla fine le stringhe che puoi produrre con md5 sono solo 16^32 (sarcastico solo), puoi anche scriverti come ti è stato suggerito, uno scriptino che provi tutte le combinazioni di caratteri... ma quanti milioni di anni hai intenzione di aspettare se niente niente la password non è lunga 3 o al massimo 4 caratteri? Per quanto riguarda i falsi positivi citati... poco importa, quella è la debolezza degli algoritmi di hashing, ossia se "vattelappesca1979#3,14159" da lo stesso hash di "ciao", hai trovato una collisione e per il genere di confronto che si fa in questo caso, le due password sono perfettamente equivalenti.