SHA256 ou pas (PBKDF2 avec un salt, ce qui est « standard » dans toute entreprise qui se respecte…), dans cette article on ne définit pas le mode d’attaque…
Si l’attaque est « j’ai récupérer la BDD » alors là SHA256 ou autre, c’est important.
Si l’attaque est frontale sur l’application web, il faudrait plutôt calculer le coût d’entrer toutes les combinaisons (bruteforce) possibles sur le service web en question…

Donc je serais plutôt partisan du : « Administrateurs, si vous voulez mettre une politique de mots de passe (peut importe laquelle), très bien, mais pensez à sécuriser la partie authentification (système double-auth, Yubikey) et prévenir les attaques par bruteforce (Fail2Ban, règles iptables et désactivation temporaire du compte cible) »