Der Hashwert von einem ausreichend langem und komplexen Passwort ist bekannt, der Hacker möchte dieses oder irgend ein anderes passendes Passwort zu diesen Hash haben.
Eine Kollision zu finden bringt hier nichts.
Man hat ein signiertes Dokument bzw. Software und der Hacker möchte dieses durch ein eigenes ersetzen, das mit Schadcode angereichert ist.
Eine Kollision zu finden die zwar auch zum Hash passt, aber nur ein Haufen Zufallszahlen darstellt, also weder ein sinnvolles Dokument, noch ein ausführbares Programm ist, bringt auch wenig.