Хеш функция bcrypt использует только первые 72 символа входа.
Поэтому если вы берёте хеш от имени+пароль, то длинное имя обрежет пароль.
Мне кажется, argon2 круче сделан и лучше переходить на него.
https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/
У меня вообще sha256(salt+sha256(password))