Дык это, если злоумышленник уведет базу hash_of_hash, как вы ее называете, то он сможет спокойно авторизовываться в качестве любого пользователя в дальнейшем, разве нет? Например, Ева знает hash_of_hash Алисы. Ева запрашивает ключ. Получает 1234. Вычисляет md5(hash_of_hash+1234) отправляет все дело серваку. Тот вычисляет md5(hash_of_hash+1234) и Ева внутри. Получается что в базе у вас будут лежать данные, используя которые злоумышленник может успешно авторизоваться. А это не есть хорошо.:)
