MD5 и SHA-1 уже откровенно устарели — их коллизии давно не секрет, особенно с современной мощностью GPU. Сейчас все чаще bcrypt или Argon2, потому что они специально сделаны, чтобы тормозить перебор паролей, плюс там соль и раунды. Просто sha256 одного раза уже не тянет, особенно если нет соли и итераций — это старый подход, который подставляет систему под атаку.