安全性 – 在cookie中存储(散列)密码是否安全？

我已经阅读了一些关于SO的文章和问题(例如 here),说你不应该在cookie中存储用户的密码.如果密码被盐渍和散列,为什么这个不安全？

特别是,为什么它不如使用会话安全,通常建议的替代方案？如果用户想要保持登录状态,那么这个新的cookie(具有会话ID /哈希)肯定与具有用户密码的cookie一样安全吗？如果cookie在某种程度上“被盗”,攻击者可以以相同的方式以用户身份登录.

编辑：问题的主要症结是关于用户保持登录的部分,即通过“记住我？”复选框.在这种情况下,肯定只有一个会话？

会话通常在某种程度上与IP地址相关联,这有点可以防止会话被盗.

除此之外,会话ID不包含任何个人信息;你的密码,甚至盐渍和哈希.密码,盐渍和散列,可以重复使用;会话ID不能.一旦会话结束,它就结束了,您需要一个新的会话ID才能再次模拟用户.