Żadnego hasła w ciasteczku, nawet zahashowanego. Zrób dla każdego usera oddzielny identyfikator i token (token zahashowany jak hasło), zapisz je w bazie i na ich podstawie przeprowadzaj uwierzytelnianie użytkownika. Do wygenerowania identyfikatora i tokenu możesz użyć np. funkcji bin2hex(random_bytes(32)). Dobrze jest też zmieniać token za każdym logowaniem.