Wie sicher ist das ganze jetzt (realistisch betrachtet)? Sollte ich auf das Abspeichern der md5 verzichten?
Welche Alternativen habe ich (d.h., welche Daten eignen sich besser, um als Identifikation von Cookies herangezogen zu werden)?

wenn du das pw mit md5 verschlüsselst ist dieses passwort schon sehr gut geschützt da man md5 nicht entschlüsseln kann...

der cookie liegt sicher auf dem rechner des user und kann im normalfall nur von deiner seite abgerufen werden..

bedenken solltest du das einige browser cookies blocken oder user sie abgeschaltet haben...