Точно, MD5 и SHA-1 нынче почти мертвые в плане безопасности. Раньше их хеши брали ну хоть как-то, а сейчас уже проще найти коллизию. Чтобы нормально защититься, лучше смотреть в сторону SHA-256 и выше, плюс с солью пароли хранить. Старое оставь для совместимости, а для серьезных задач — новые алгоритмы.