Так от чего мы защищаемся?
Если от случайных повреждений, то вообще пофиг и смотреть можно на самый быстрый (например xxhash)
Если от злоумышленника, то любой криптографический. Ну и, кстати, sha1 сломан только в том смысле, что можно создать два файла с одним хешом. Подобрать коллизию к выбранному файлу всё ещё нельзя.

То что вы понимаете под
Называется коллизией. Обычно такие атаки имеют крайне жесткие требования. Например оба файла должны быть сугубо указанного размера. Часть файла должна совпадать. И т.д. И это ускоряет перебор в какое-то количество раз. Но не значит что дает возможность модифицировать как угодно один файл, и подогнать результат к значению хеша.
Если бы это было так. То всякие интернет казино, с преждевременными результатами и контролем честности, а также блоки биткоина. Сделал бы очень богатыми людей которые способны подбирать коллизии такие)

Всегда блок из нескольких хешей: sha-256, sha-384, sha-512.
Если нужна защита хеш-данных от промежуточной модификации - то подпись pgp.

Какой алгоритм предпочитаете для проверки целостности данных/файлов?

Зависит от ситуации. Иногда достаточно md5, иногда и sha512 может не хватить.

md5 и sha1 взломаны

Это чушь!
Хэш это некоторое число ограниченного размера, полученное в результате применения специальной математической функции к определенному набору данных.
Любой хэш имеет коллизии - одинаковые значения хэша, при разных наборах хэшируемых данных.
Различается лишь вероятность возникновения коллизий, и равномерность их распределения.

можно "сломать" файл и хэш при этом не изменится

Это говорит лишь о неправильном применении хэша, а не о проблемах конкретного алгоритма хэширования.

md5 и sha512 да любой дело в производительности