Hallo Henk,

Mache ich da irgendeinen Denkfehler?

Naja, keinen direkten Denkfehler... Es fehlen Dir lediglich ein paar Informationen. Man kann MD5 nicht umkehren. D.h. es gibt nur en encoding, kein decoding.
Folglich hat der Spion ja nur die verschlüsselte Version des Passwortes. Damit kann er aber nix anfangen, da das bereits verschlüsselte Passwort bei der Eingabe in das Passwortfeld NOCHMAL verschlüsselt wird. Dabei kommt dann nicht wieder das original Passwort raus. Alles logo?

schönen Grußs aus Trier
Peter