Hi,

Ob Cookies aber in ihren Werten alle 256 Zeichen enthalten dürfen, habe ich nicht geprüft.

Dürfen vielleicht schon, nur funktioniert das dann nicht. Bereits Groß/Kleinschreibung führt in einigen Browsern zu Problemen.

Aber generell: ob ein - hier wirklich notwendiges - Paßwort nun per POST oder Cookie übertragen wird, läuft auf dasselbe hinaus. Besonders ohne Limitierung (z.B. über eine IP-Sperre) kann es theoetisch gehackt werden, daher sollte es möglichst komplex sein.
Und was das manuelle Setzen von Cookies betrifft: die landen in einem (oder mehreren) reinen Textfiles, die man nach Belieben manipulieren kann.

freundliche Grüße
Ingo