La cuestion es que toda codificacion que pueda deshacerse es susceptible de ser deshecha. Pero todo es susceptible de ser hackeado, incluso las codificaciones sha1() son susceptibles de ser descubiertas por colisión aunque sea casi imposible hacerlo (pero un casi no es una certeza aunque se requeriria cierto nivel de hardware sólo para intentarlo).

Si lo prefieres utiliza sha1, pero en este caso la codificacion no puede deshacerse , solo puedes comprobar que el valor codificado que te llega es el mismo que el resultado de codificar el que tienes en la variable de sesion.

Aun así tienes que tener un nivel de seguridad acorde con la importancia de la informacion. Por ejemplo, en una pagina donde te solicitan email Nombre y pass. y en principio no hayu informacion demasiado delicada, no vas a poner trabas y trabas que hagan la aplicacion lenta . ¿Seria lo correcto? si, por supuesto, hacer la aplicacion lo mas segura seria lo correcto pero lamentablement si la pagina es lenta, el usuario se marcha asi que hay que compensar.