Nur das würde bedeuten jeder User muss sich ein neues Kennwort vergeben? Oder wie würdest du dieses machen?

Das ist jetzt ein Trick.

Es wird versucht das Loin mit der neuen Methode durchzuführen.
   Fehlschlag: 
      Es wird versucht das Login mit der alten Methode durchzuführen.
         Erfolg:
            Das eingegebene Passwort wird mit der neuen Methode gehasht
            oder (besser) aber der Benutzer wird zur Eingabe eines neuen Passworts gezwungen
            Ab dann klappt die Neue Methode.

Auch bei der Methode mit password_verify() ist nach dem erfolgreichen(!) Login mit password_needs_rehash() zu prüfen ob der bestehende Hash dem Stand der Technik entspricht. (Seite 4: "Ein stilles Update können Sie auch durchführen") Zu diesem Zweck ist die Methode im ersten Abschnitt des Hashes durch einen Code notiert. Liefert password_needs_rehash() true, wird das Passwort (das eben eingegebene oder ein Neues) ebenfalls mit password_hash() neu gehascht und eingetragen.

Dann geht's weiter wie bisher.

Vorteil: Man muss in PHP nichts mehr umschreiben, weil die Verwendung der der "Methode auf dem Stand der Technik" im Hintergrund stattfindet. Man muss nur dafür sorgen, dass PHP seine Updates erhält.

Das ist die Wurst, die man sich braten will.