Взломать собственную базу данных паролей

Из-за множества хакеров vbulletin в последнее время мы изменили программную строку 3.8.x, чтобы использовать функцию password_hash() в PHP для большей безопасности. Я разработал код так, чтобы он преобразовывал пароль при повторном входе пользователя в систему (принудительный вход при следующем посещении). Проблема в том, что у нас много пользователей, которые давно не входят в систему, и мы хотим защитить их тоже. Мы обсуждаем идею покупки / аренды некоторой большой мощности графического процессора и использования чего-то вроде hashcat, чтобы взломать, а затем преобразовать имеющиеся у нас пароли.

Из моего начального тестирования это работает довольно хорошо, пока вы не получите пароли из 7-8 символов (используя? A charset в hashcat). После этого процесс действительно замедляется до ползания. Есть ли реальная надежда сделать это с успехом, особенно с паролями большой длины? Если да, то какую силу мы должны надеяться получить? Все вместе, мы, вероятно, имеем около миллиона различных соленых счетов.

Эта идея даже осуществима?