Azt jól írod, hogy a jelszó csak az adott órában használható, tehát pl. ha óra:55-kor generálod, akkor csak 5 percen keresztül. Ez a cél?
Az md5sum biztos olyan, a sha256-ot nem tudom, hogy ha két különböző file-nak azonos az md5-je, akkor azonos suffixet hozzáfűzve mindkét fájlhoz továbbra is azonos lesz az md5. Ha a sha256 is ilyen, és a támadó ismeri az algoritmust (a titok kivételével) (például lenyomozta hogy ki kódolta le és itt a hup-on megtalálta ezt a topikot), akkor elegendő olyan IP-címhez hozzáférnie, usernevet megadnia, és közeli időcímkét találni, melyre ezek összefűzése az eredeti jelszóhoz tartozó ilyen értékek összefűzésével megegyező sha256-ot ad, a secret ismerete nélkül is tudja hogy a digest azonos lesz. Persze ez se könnyű feladat.
A sha256 dupla alkalmazása szerintem nem szokványos dolog, úgy tippelném hogy nem ismeri senki sem igazán a viselkedést. Csak példa: a DES kódolás azt tudja, hogy ha kétszer egymás után alkalmazod, gyengébb titkosítást kapsz mintha csak egyszer.
A titkosítás iszonyatosan nehéz témakör, én sem értek hozzá. Nagyon nem mindegy, hogy mennyire kritikus a rendszer amit készítesz. Ha arról van szó, hogy a 15 éves kisöcsi ne férjen hozzá a 16-os korlátozású filmekhez, akkor szerintem bőven jó amit csinálsz. Ha banki rendszer védelméről, akkor felejts el minden saját gondolatot, kizárólag a szakirodalom tanulmányozása és egy jól bevált ismert algoritmus implementálása jöhet szóba. A kettő között persze nagyon széles a skála...