Yo generalmente guardo la contraseña en la cookie, y tengo una funcion donde el string que le pase se trasnforma en un string encriptado, no solo con md5, pasa por varias funciones, md5, sha1, base64 (se que es descodificable pero igualmente añade un poco de complejidad), y uso cosas como pasar los caracteres a su numero ascii y despues el numero a binario o hexadecimal, varios procesos seguidos de ese tipo hace practicamente descodificable la contraseña (a mi punto de vista), otra opcion es crear un numero aleatorio por usuario (aleatorio, no se usa la id por que alguien podria descubrir como funciona ese metodo, en la cookie pone el numero 1, que significaria ID = 1, osea que podria entrar como administrador (si damos por hecho que el administrador fue el primer usuario y tiene id = 1), lo mejor es un numero aleatorio, que se compruebe que no coincide con el de ningun usuario, y se ponga ese numero en la cookie, y entonces se identifica al usuario por un numero que aparentemente no sirve para nada para el que intente ver la cookie.

Un saludo