Попалась статья по безопасности. Автор настоятельно не рекомендует в кукис у клиента хранить пароли. "Не поможет шифрование в sha512 или blowfish и https, т.к. хакеры легко ломают любой брандмауэр и клиентские куки могут быть прочитаны хакером" .
Предлагает каждый раз вводить пароль пальцами. Я согласен, что надежней вводить каждый раз, но клиенты не очень хотят вводить пароль. Я выставил минимальную длину 10 символов и требую замену через 30 дней, не хотят вводить
Так ли уж легко и любой брандмауэр? Не очень верится. Напр. mail.ru и google используют https и куки с паролями хранят у клиента.