Saludos superdober!!

Soy bastante novato en php, pero en algoritmos de hash y redes sí que tengo más idea,

mira, en primer lugar, cambiaría automáticamente el md5 por el sha-1, es bastante más difícil de romper, y a tí te cuesta bastante poco cambiarlo, basta poner sha1 en vez de md5 en tu código :)

Por otra parte, por lo que yo veo, tu código va bien contra ataques externo a tu red local, pero un usuario de tu red interna todavía podría hacer algo, ya que un ordenador de tu propia red puede tener tu misma dirección IP y tu mismo navegador, por lo tanto tu sistema de seguridad no serviría contra él.

La verdad es que ahora mismo no se me ocurre nada para poder salvar ese escollo, yo ya me hecho a un lado y dejo a los expertos que opinen...

Otra cosa, piensa que puede haber usuarios de tu web que puedan perjudicarse de este sistema de seguridad, si tienen conexión a Internet a través de un proxy, su IP puede cambiar de un acceso a otro, con lo que los dejarías fuera!!

ALEX