Хэш функцию призывать заменять на другие механизмы (запароленные архивы, например) - это, к сожалению, подвергать казины теоретической возможности взлома сгенерированной последовательности. Хэш не дает даже теоретической возможности этого. И здесь казины могут быть спокойны.
Тоже самое с призывом заменять MD5 на другие. СЕГОДНЯ нет открытой информации о том, что можно за минуты-секунды генерировать множественные и осмысленные коллизии MD5. И смысл требовать замены на другие, надежность которых также подтверждена лишь отсутствием информации о том, что кто-то научился это делать?