Che i dati siano in una o due tabelle fa poca differenza, se uno riesce a loggarsi con l'account di un altro può vederli in ogni caso (ammesso che ci sia una pagina che li mostra).

Se hai le password salvate in md5 e cambi tipo di algoritmo dovrai chiedere agli utenti già registrati di cambiare la password così che venga aggiornata anche sul db, non puoi convertire una stringa md5 in un'altra di un altro algoritmo.
Il cambio della password ovviamente non lo potranno fare dal loro profilo, perché non saranno in grado di effettuare il login essendo cambiata la funzione di hash, quindi dovrai creare una pagina apposita dove gli utenti potranno cambiare password.
Per esempio puoi creare una pagina in cui chiedi l'indirizzo email con cui ci si è registrati e un altro dato difficile da indovinare a caso se uno prova ad aggiornare la pass di un altro.