Существует много дискуссий о риске безопасности для сохранения хеш-пароля в файлах cookie, поскольку при доступе к компьютеру пользователя хакер может войти в систему с сохраненным паролем. Если хакер имеет доступ к компьютеру пользователя, он может поймать пароль, так как браузеры также сохраняют пароли локально (конечно, зашифрованные). В чем разница между паролем, установленным в файлах cookie, и паролем, сохраненным в браузере?

По понятной причине, вместо пароля должен быть отправлен временный GUID. В любом случае, я считаю, что ограничение доступа к зарегистрированному IP-адресу может закрыть возможности для злоумышленников использовать локально сохраненный GUID. Конечно, это ограничит продолжительность регистрируемого периода, так как IP обычно динамичен и регулярно меняется; но я думаю, что это стоит своей заметной безопасности. Любая идея?