Mahlzeit,

Aber jetzt zu meinem Thema, ich ändere dieses gerne wenn es der Sicherheit dient, gar keine Frage. Nur das würde bedeuten jeder User muss sich ein neues Kennwort vergeben?

Nein, du kannst ja den Hash nochmal neu hashen, packst einen Flag in die Datenbank der dir dann sagt ob das Passwort neu ist und nur mit der neuen Funktion gehasht wird oder mit beiden weil das Passwort noch nicht geändert wurde. Nach angemessener Zeit verschickst du dann Mails an die, die ihr Passwort nicht selbst geändert haben, sie sollten das, aus Sicherheitsgründen, mal wieder machen und wenn dann alle Passwörter geflagt sind (oder inaktive User ignorierbar sind), nimmst du nur noch den neuen Hash.

Oder wie würdest du dieses machen? Und kann ich meine Login Funktion weiterhin nutzen oder muss auch dieses komplett umgestellt werden?

Ich würde auf vorhandene Libs aufsetzen und nix eigenes schreiben. Entweder ein Framework, das diese Funktionalität bietet oder eben was einbinden. Symfony und Laravel können das z.B. vermutlich cakePHP o.ä. auch. Libs weiss ich grad keine, da kann evtl. jemand anderer helfen.

Der Vorteil: Eine Community löst Sicherheitsprobleme und du hast eine Sorge weniger.