ну во-первых если модуль найдет такой пароль, то и авторизация на форуме с ним пройдет, а во-вторых теоретически (если не брать во внимание еще и коллизии) возможно существование только одного пароля, соответствующего такому измененному хешу, но не думаю что он будет проще того пасса, который введет пользователь

лучше тогда уж на sha256, под них коллизии вроде еще не находили, и кстати на фоне назревающей идеи не брута пароля, а нахождения коллизии, можно заносить 2 хеша в БД (например md5 и sha1), применять идею, описанную в первом посте к обоим хешам и тогда шанс нахождения коллизий к ним обоим одновременно такой же как и шанс образования черной дыры при запуске адронного коллайдера
тогда и возможность существования еще одного пароля (из-за замены одного из символов хеша) отпадает...