Segun tengo entendido estas paginas web que "desencriptan" md5 son simples bases de datos strings - md5 que se nutren de lo que introducen los mismos usuarios para encriptar o (no estoy seguro pero seria tambien lo mas logico) generan aleatoriamente mediante scripts. Con esto quiero decir que si pones 4d186321c1a7f0f354b297e8914ab240 en esa pagina y te devuelve "hola" no quiere decir que haya desencriptado ese hash, si no que simplemente por alguna razon tiene la relacion hola - 4d186321c1a7f0f354b297e8914ab240 en la base de datos y es lo que te devuelve.

Si generas tu mismo (sin servirte de esa pagina) un md5 de por ejemplo asf3raf33 y lo intentas desencriptar juraria que no es capaz de devolverte nada.

Ojo, estoy hablando solo de este tipo de paginas, no se hasta que punto el sistema es vulnerable mediante otros metodos.

En cuanto al tema, no creo que la solucion de la perdida de contraseña sea enviarla por correo electronico tal y como estaba en un principio, ni tampoco guardarla en md5 y en texto plano en la db. Quiza una pregunta y una respuesta secreta seria lo suyo, o simplemente enviar una nueva generada aleatoriamente al correo electronico.