hallo

Ist die Methode grundsätzlich sicher? Selbstverständlich speichere ich das Passwort nirgends plain ab und ich habe für das Loginscript ein Schutz vor Brute-Force eingebaut.

kommt darauf an... Wenn ich das Session-Token stehlen kann, kann mir deine Login-Sicherheit egal sein.

So nebenbei: das Verketten von mehr Hash-Algorithmen macht einen Hash nicht besser. so man sowas tut, weil man befürchtet, dass der eine Algorithmus Entropie vernichtet, so kann diese nicht wieder restauriert werden durch einen anderen Algorithmus.