Como que el password no deberia guardarlo nunca? y como sabes que la cookie es realmente de quien dice ser?, solo verificando que el password corresponde a ese user se puede hacer esto...

Volvemos a lo mismo de antes, sin el password yo puedo setear una cookie con mi nick(el nick es publico, todos lo vemos) y listo....