Возможно, я подхожу к этому с другой стороны, но если вы говорите, что у вас могут быть пользователи, которые не будут входить в систему в течение длительного времени, тогда это представляет большой риск. Чем дольше вы позволяете пользователю придерживаться одного и того же пароля, тем больше риск грубого обращения со стороны злоумышленника, которому удается каким-либо образом получить ваш хэш-файл пароля. Не надейтесь на безопасность, предотвращающую это ...
Хеш-функции не так быстро устаревают, поэтому я полагаю, что вы должны хорошо проверять это ежегодно, так как, надеюсь, ваши пользователи будут менять пароли чаще.
Очевидно, все зависит от ваших конкретных требований, но подумайте об этом.
Как правило, bcrypt или sha256 могут удовлетворить требования.
Обновление: вы можете подумать о том, чтобы перенаправить этот запрос на security.stackexchange.com, так как это вопрос управления безопасностью.