Tach.

füg noch password hinzu (als 2e zeile in cookie), und überlass es dem user sich ausreichend gegen trojaner/würmer zu schützen die sich auf cookie-klau spezielisieren

Und was spricht dagegen, diese Daten auf dem Server zu lassen? Gespeichert in einer Session, über deren ID aus dem Cookie sich der Benutzer nach der erfolgreichen Anmeldung zu erkennen gibt.

Bei direktem Zugriff auf den Rechner kann natürlich immer noch jemand diese ID klauen und somit die Session "hijacken", aber er kann damit – je nach Applikation – weniger Schaden anrichten als mit dem Paßwort. Auch MD5 o.ä. Hashes lassen sich oft genug in absehbarer Zeit cracken. Hingegen laufen die Sessions i.d.R. immerhin nach einer gewissen Zeit ab, so daß nach ein paar Stunden eventuelle auf dem Rechner zu findende Session-IDs in Cookies nutzlos sind.