Nun ist ja bekannt das nur md5-hashes eigentlich nicht wirklich sicher sind,

Das ist so nicht gesagt, sondern kommt auf den Anwendungsfall an.

eigentlich mit normalem Rechenaufwand nicht möglich an das Passwort zu kommen oder?

ist es problemlos möglich z.B. mit Rainbow Tables die Hashs zurückzurechnen

Grundsätzlich richtig, aber da hier zweimal das Wörtchen "rechnen" verwendet wurde: Aus einer Prüfsumme (Neudeutsch: Hash) lässt sich nichts zurückrechnen. Das ist genauso unmöglich wie aus der Zahl 23 zu berechnen, welche Komponenten in der Rechnung x + y angewandt wurden. Es geht einfach nicht. Wirklich.

Regenbogentabellen enthalten Prüfsummen, die dort zusammen mit den dazugehörigen Passwörtern abgelegt wurden. Was also gemacht wird, ist, in so einer Tabelle die Prüfsumme zu suchen; findet sich eine, steht rechts daneben das Passwort im Klartext. Das hat mit Rechnen absolut gar nichts zu tun.