Когда-то в сети наткнулся на ресурс, суть которого сводилась к следующему. Вы вбивали хеш md5. А вам ресурс предлагал варианты слова, которые этот хеш генерировали. После этого случая я либо не использую MD5, либо к слову прибавляю кодовую строку и хеширую получившееся. Возможно это и глупость, но ИМХО как вариант.
----------------------------------------
Артисты не приехали, приехали цыгане

1. Обсуждение взлома противоречит правилам форума
2. Я ее не запомнил, тогда я еще смутно понимал, зачем мне это может пригодиться.
----------------------------------------
Артисты не приехали, приехали цыгане

я только что нашел через Гугл. и декриптовал цифру 1. Более сложные конструкции тоже возможны, потому что кло-во вариантов у MD5 имеет конечное число. Так же не стоит забывать, что существуют коллизии. Этого достаточно, что бы не пользоваться просто md5.
----------------------------------------
Артисты не приехали, приехали цыгане

Зачем хранить пароль на клиенте?
----------------------------------------
Артисты не приехали, приехали цыгане

ИМХО.
Говорю сейчас о том, что мы пользуем MD5. Я еще раз озвучу, что можно получить несколько строк, которые сгенерируют один и тот же MD5-хеш - это колиззии. Т.е. говорить, что получить исходное значения из MD5 можно лишь условно, потому что алгоритм MD5 - это необратимое шифрование. НО гаратнировано сказать, что вот эта строка является исходной - нельзя.
Вернемсяк кукам на клиенте.
Клиент скорее всего прошел аутентификацию и получил куку в ввиде хеша пароля, и теперь он возвращает вам кук, что бы вы ее проверили.
Это же не единственный параметр, который вы проверяете? Так?
Что мешает на клиента выдавать уникальный признак того, что он прошел аутентификацию, проверять соответствие этого признака клиенту и все остальные признаки, которые вы проверяете при аутентификации.
Если куки клиента кто-то и украдет, то он не сможет получить пароль.
----------------------------------------
Артисты не приехали, приехали цыгане