Witam,

mam stronę z logowaniem która koduje hasło takim oto sposobem :
W pierwszej linijce dodaję kilka znaków i powtarzam trzy razy hasło, aby tekst do zakodowania był dłuższy. Później koduję go metodą base64 a następnie md5.

[PHP] pobierz, plaintext 
$newpass = '4g1'.$newpass.'r?'.$newpass.'Gz3'.$newpass.'}>";[])$#&,  ';
$newpass = base64_encode($newpass);
$newpass = md5($newpass);
[PHP] pobierz, plaintext 

Czy hasło jest bezpieczne (odporne na kolizje itp.)?

nie. Po co takie zagabaje robić.

Wystarczające jest np. SHA1
A jak chcesz więcej to polecam http://pl1.php.net/manual/en/function.crypt.php

PS. Po kiego wałka tak sobie komplikować życie dodając jakieś dziwne rzeczy?

to nic nie bo sprawdzaniu i tak wystarczy wstawić $newpass
samo przechowywanie wystarczy:
http://www.php.net/manual/en/function.hash.php

Używanie kilka funkcji kodujących to raczej nie najlepsze rozwiązanie.
Zamiast tego polecam przy rejestracji zapisywać do bazy datę rejestracji usera w postaci timestamp i wtedy jego hasło twórz sobie w ten sposób:

[PHP] pobierz, plaintext 
$password = trim($_POST['pass']); // hasło z inputa, które podał user
$date = time(); // obecny czas
 
$create_password = sha1($date.$password.$date);
[PHP] pobierz, plaintext 

I w tym momencie nie dość, że masz ładnie zakodowane hasło to jeszcze dochodzi do tego hasła unikalna sól.
Przy próbie logowania jak sprawdzasz w bazie czy istnieje podany nick i czy hasło się zgadza, pobierasz dodatkowo datę rejestracji danego usera i sprawdzasz czy hasło jest poprawne w ten sam sposób czyli:

[PHP] pobierz, plaintext 
$password = trim($_POST['pass']); // hasło z inputa, które podał user
$date_reg = $row['user_regdate']; //pobieramy z bazy datę rejestracji usera
$pass = $row['user_password']; // zakodowane hasło usera z bazy
 
if ( sha1($date_reg.$password.$date_reg) == $pass )
{
    // poprawne
}
else
{
    die('hasło jest błędne');
}
[PHP] pobierz, plaintext 

A wystarczy

[PHP] pobierz, plaintext 
crypt('haslo', '$2a$07$__22_znaki_soli__$')
[PHP] pobierz, plaintext 

Można i tak, ważne żeby była sól i żeby nie używał do tego md5, reszta już zależy od niego.

Z ciekawostek, to w skrypcie forum MyBB 1.6 tak tworzą hasha hasła:

[PHP] pobierz, plaintext 
$hash = md5(md5($salt) . md5($newpass));
[PHP] pobierz, plaintext 

Sól to losowy ciąg 8 znaków (małych i wielkich liter oraz cyfr). Też gdzieś tam w plikach jest jakaś funkcja generująca tę sól, więc można odszukać jak ktoś zainteresowany.

Ale MyBB nie miało aktualizacji już chyba niemal 2 lata, więc w nowszej wersji, która ma się pojawić jakoś niedługo pewnie to zmienią.

Szkoda że jeszcze ze 4x nie przepuścili przez MD5

Gdzieś na niebezpieczniku czytałem że podwójne hashowanie jedynie przyspiesza znalezienie kolizji, było tam wszystko super wyjaśnione, niestety nie mogę znaleźć teraz tego artykułu

Owszem przyspiesza. Jest to zresztą logiczne i bez wywodów. Dowolny ciąg do hashowania jest zamieniany zawsze w ten sam określony hash. Już przy pierwszym przebiegu mamy kolizje, bo ilość hashy wyjściowych jest ograniczona. Teraz te wyjściowe znów są hashowane co ponownie mapuje się na określoną i ograniczoną ilość. Przez takie podejście coraz większa ilość kombinacji ciągów wejściowych mapuje się na dokładnie ten sam hash wyjściowy. Co zabawniejsze... przy każdym drugim i dalszych tak naprawdę nie ma już sensu tego robić bo mamy do czynienia z mapowaniem między dokładnie taką samą ilością potencjalnych kombinacji ciągów wejściowych co wyjściowych. Można więc to bardziej porównać do najbadziewniejszego ogromnego słownika, który wymienia ten sam ciąg na inny. Bezsensowność więc wielokrotnego hashowania staje się widoczna jak na dłoni.