パスワードにUnicodeを利用するのはあり？

パスワードに関する基準として世界的に権威のあるドキュメントとしてNIST SP 800-63Bがあります（日本語訳URL）が、その中では以下のように記載されています。

すべての印字可能なASCII [RFC 20] 文字(スペースも同様)は記憶シークレットとして許容されるべきである(SHOULD)．Unicode[ISO/ISC 10646]文字も同様に許容されるべきである(SHOULD)．Verifierは，8文字以上であることの検証を行う前に，タイピングミスの類を考慮して連続した複数のスペースまたは全てのスペースを除去してもよい(MAY)．シークレットの切り詰めについては実施しないものとする(SHALL NOT)．前述の記憶シークレットの長さ要件を満たすために，それぞれのUnicodeの符号位置は一文字としてカウントされるものとする(SHALL)．

すなわち、Unicode文字も許容すべきとなっています。また、Unicodeを許可する場合は、正規化も要求されています。

もしUnicode文字が記憶シークレットとして許容されるならば，Verifierは，Unicode Standard Annex 15 [UAX 15] の Section 12.1で定義されている”Stablized Strings”のためのNFKCまたはNFKD正規化のいずれかを用いた正規化処理を適用すべきである(SHOULD)．この処理は記憶シークレットのバイト文字表現のハッシュ化の前に適用される．

NFKCまたはNFKD正規化について検索等で調べていただきたいのですが、例えば以下のような変換になります。

ｶﾞ → ガ
㌠ → サンチーム
神 → 神

面倒くさそうですが、JavaやPHPなどは正規化の機能を提供しているので、それらを呼び出すだけです。例えば、PHPならば以下のように書けます(NFKCの場合)。

$out = normalizer_normalize($in, Normalizer::FORM_KC);

ということで、現在はパスワードとしてUnicode文字を許容するサイトは少ないようですが、今後は増えるのではないでしょうか。
ところで、パスワードの保存方法は以下では足りないと思います。

今現在の実装では、受け取ったパスワードはSHA-256でハッシュ化してDBに保存しています。

単純にSHA-256でハッシュを取るのでは不十分で、ソルトやストレッチングという手法を用いることと、SHA-256のような汎用ハッシュ関数ではなく、パスワード保存に適した特性のある関数を用いるべきです。PHPの場合では、password_hash()という関数（マニュアル）を使うと、上記をすべておまかせすることができます。
パスワード保護の概要について以前動画を作成しましたので紹介します。

超入門：ウェブサイトのパスワード保護～ウェブサイトでパスワードを保護する方法～ - YouTube