Wenn du sowieso mit "Hashes" arbeitest, warum nicht gleich einfach MD5 oder SHA1 nehmen? So überträgst du auch nie das Passwort im Klartext und es liegt auch nie im Klartext auf dem Server.
Da Bcrypt mir einen höheren Sicherheitsstandard bietet.
https://de.wikipedia.org/wiki/Bcrypt
Sicher, es wäre möglich das ganze vorher noch mal mit Sha256 / Sha512 zu hashen, aber daraus ergibt sich
imho kein wirklicher Gewinn.
(Zumal: Bitte heutzutage nicht mehr Passwörter einfach nur als MD5 speichern.. Wenn es etwas aus der SHA Familie sein soll, dann bitte Salted SHA256+)