Si, está bien que caduque la sesión.

Pero que tal si quiero programar una web con el mismo login, que permita hacer autologin, como por ejemplo este foro, ¿que manera será la más segura para autenticar el usuario?

Me da susto dejar la contraseña, el usuario o el id en la cookie así como así.