Una seguridad añadida que se me ha ocurrido para lo que dice Tokara de robar la cookie y ponerla en otro PC, seria guardar el nombre del ordenador que visita la pagina en la cookie, y comprobar si el nombre de la cookie es igual al del ordenador, en caso de que no fuese eliminaria la cookie y le llevaria al form de login, lo cual ya impediria completamente que pasase lo que comenta Tokara, al menos que el usuario se adelantase y cambiase el nombre de su ordenador, pero lo veo imposible si tiene una buena encriptacion el nombre, que les parece ese sistema? con una buena encriptacion y ese sistema, que vulneravilidad podria tener una cookie? y en todo caso si se quiere mas seguridad se podria añadir el sistema de ip que han comentado anteriormente.