Nachteil, inaktive Userpasswörter werden nie rehashed und dadurch bleibt das Login bei deinem Ansatz auf Dauer unsicher.

Dieser Umstand ist auch mit jedem anderen Ansatz nicht vollautomatisch zu beheben. Lösung ist, alle oder inaktive User mit Fristsetzung zu benachrichtigen, dass wegen modernerer Sicherheitsvorkehrungen ein Login und ggf. die Änderung des Passworts nötig ist.

Wenn das nicht erfolgt muss man halt nach Fristablauf im Interesse der inaktiven Benutzer selbst deren Einträge "brutal" löschen. Das entspricht übrigens auch der DSGVO. Stichworte "Notwendigkeit, Zweckbestimmung".

Die können sich ja neu anmelden.