Можно попробовать вот еще какой вариант. Если вы знаете как именно хешировались пароли в старой базе (алгоритм, наличие соли), то можно ничего не менять, а реализовать двойное хеширование. Сначала проверять пароль старым алгоритмом, а потом хэшировать полученный хеш новым и сверять с новыми хешами в базе, которые вы туда можете перегнать нужным вам алгоритмом. В принципе это позволит избежать мороки со сменой паролей.