Primero tienes un gran fallo de seguridad, porque base64 no se debe usar para encriptar contraseñas. Lo que algunos tienden a hacer es crear una columna adicional para guardar una llave con la contraseña, ambas juntas y encriptadas y esa es la que envían como cookie, para evitar enviar la contraseña original. Otros simplemente envían la contraseña original encriptada.