Si ya tiene contraseñas de hash SHA1 y está intentando migrar a un mejor algoritmo de hash de contraseñas, es menos seguro simplemente usar PBKDF2 para hash los hashes SHA1 que ya tiene en lugar de migrar a los usuarios la próxima vez que inicien sesión y hash la contraseña con PBKDF2 directamente?
En otras palabras, ¿hay alguna diferencia entre estos dos enfoques ?:
PBKDF2(SHA1(password)) o PBKDF2(password)
La capacidad de migrar los hashes existentes de una sola vez haría que la migración sea mucho más fácil.