yo lo que veo mejor es guardar sólo el userID en la cookie.
en el login preguntar si desea ser recordado, en caso negativo, la cookie caduca en 1 hora, en caso afirmativo, la cookie podría tardar más en caducar, algunos días.
es una manera fácil de suplantar la identidad, pero si tu equipo es inseguro, lo mejor es que no te recuerde.