Взломать собственную базу данных паролей

В последнее время в изобилии взломов vbulletin мы модифицировали программную строку 3.8.x, чтобы использовать функцию password_hash () в PHP для большей безопасности. Я разработал код так, чтобы он преобразовывал пароль при повторном входе пользователя в систему (принудительный вход при следующем посещении). Проблема в том, что у нас много пользователей, которые давно не входят в систему, и мы хотим защитить их тоже. Мы разбираемся с идеей покупки / аренды некоторой большой мощности графического процессора и использования чего-то вроде hashcat для взлома, а затем преобразования наших паролей.

Из моего начального тестирования это работает довольно хорошо, пока вы не получите пароли из 7-8 символов (используя? A charset в hashcat). После этого процесс действительно замедляется до ползания. Есть ли реальная надежда сделать это с успехом, особенно с паролями большой длины? Если да, то какую силу мы должны надеяться получить? Все вместе, мы, вероятно, имеем около миллиона различных соленых счетов.

Эта идея даже осуществима?