Pues insisto .. yo así no veo nada claro tu proceso .. No sé ni como gestionas tu contraseñas (las encriptas? van "planas"?) .. ni como las "inyectas" de tus cookies si existen a tu autentificación como para crear la sesión y continuar con esta (es así como lo haces?).

Tampoco entiendo por qué usas un campo de un formulario y ahí le incrustras como valor tu cookie (que va la contraseña y el usuaario "serializado" a tu manera). Por lo menos el código completo de todos los scritps que intervengan en el proceso + tu explicación serviría para que nos hagamos una idea o te aportemos sugerencias.

La validación (el psudo-código o flujo) sería algo así:
1) Verificas la existencia de tus variables de sesión ... lo cual indicará una sesión activa o no.
1) Si no existe la sesión: Verificas tus valores (usuario/password) de tu cookie.
Si existe, usastes la opción "recordar" .. Tomas tus valores de tu cookie y en base a esos autentificas (contra tu BD o donde gestiones tus usuarios) y generas las variables de sesión como de costumbre. El sistema seguirá validando principalmente por tus variables de sesión y usará las sesiones para todo su proceso de tu aplicación.
3) No sé si usaras el mismo script para la autentificación desde tu formulario HTML de login .. pero si es así atacará esa validación al mismo proceso que haces si tomas los valores de tu cookie.

Un saludo,