Das ist der Punkt der dir in der Praxis dann deine Grenzen definiert.
Wolltest du es wirklich gut machen dann heist dies:

1.) Benutzer müssen sich mit dem neuen System komplett neu registrieren da es kein kompatibles System, von Alt auf Neu, geben kann. Meistens ist die Mathematik, Kryptographie und Daten der Alten Systeme kompolett unterschieldich zu den neuen Systemen

2.) da du nun ein komplett neues System benutzt, Passwortbasiert, müssen alle Clientrechner dies auch im OS, bzw. mindestens WinSock unterstützen. Dh. das neue Passwort-Login-Protokoll benötigt kryptographische Blibliothejen die auch dem Clientrechner vorhanden sein müssen. Und das ist das größte Problem: zb. Microsoft kennt sowas garnicht bzw. möchte lieber sein kompexes Zertifikat System basierend auf RSA benutzt (logisch ist es doch das was das meiste Vertrauen der Benutzer verlangt, je mehr ich vertrauen muß desto größer die Möglichkeiten dieses Vertrauen zu brechen)

Das bleibt nur noch der Weg eine eigene Software/Bibliothek für diesen speziellen Login auf dem Clientrechner zu installieren. Das wird sich aber dann niemals durchsetzen in breiter Front.

Also bleibt dir nur eines:
- Verschlüsselng der Login Datenbanken
- alle MD5 Prüfsumen per Salt nochmals hashen, wie schon vorher beschrieben
- Anbieten eines alternativen Logins über SSL geschützt

Damit beweist du zumindestens schon mehr Verständniss als viele anderen Admins.

Gruß Hagen