Wygenerowanie wszystkich możliwych 5 znakowych kombinacji i utworzenie z nich MD5 zajmuje na moim komputerze ok. 2s. Wyszukanie ich w bazie Allegro to pewnie kilka sekund. Widzę, że więĸszość użytkowników komputerów nie jest świadoma ich możliwości.

Ale w ten sposób można sprawdzić hasła tylko osób, które się logowały w najbliższym czasie. A co z użytkownikami, którzy nie logowali się od roku albo więcej? Ich sprawa też dotyczy, a nie wierzę, żeby akcja "popraw hasło" trwała tak długo. Gdyby sprawdzanie długości hasła mieli od początku, to nie byłoby teraz problemu z krótkimi hasłami.
Wnioski: akcja "popraw hasło" trwa od niedawna, a krótkie hasła (i ich użytkownicy) musiały zostać w jakiś sposób wytypowane z bazy danych.

hasła na pewno są przechowywane w formie zaszyfrowanej, słabość hasła sprawdzają zapewne licząc ile ma znaków w czasie logowania. nie trzeba tu nic rozkodowywać/łamać, generować rainbow table czy zapisywać hasło w sposób jawny.
prosty warunek w czasie logowanie:
if(strlen($_POST['password'])<6)

Oczywiście, że mogą trzymać hasła w plaintexcie, ale policzę za Was:

powiedzmy, że jest 64 znaki używalne w haśle.
Krótsze niż 6, to oznacza do 5 znaków.

Hasz md5 ma 16 bajtów.

>>> sum([ 64**k for k in range(1,6) ])
1090785344

Przeliczmy już sobie na czyste GB:

>>> 16.0 * sum([ 64**k for k in range(1,6) ]) / 1024**3
16.253968238830566

Po zrobieniu sobie kompresji (Rainbow Tables), będzie tego jeszcze mniej, ale właściwie można powtórnie pohaszować hasze czymś prostszym - i zastosować Running Karp Rabin - wyszukiwanie skrótów skrótów ;)

To tyle na temat "technicznej niewykonalności"

Przepraszam - niedoczytałem tego o krótkich hasłach.