ALEX1084 se refiria a si te han secuestrado la id de session , evidentemente deberas saber que datos compone la verificacion para modificarlos y penetrar , si no los sabes los intentas modificar pero logicamente el usuario no sabra que datos son comparados de ahy lo que dice alex de la creatividad .

ahora si has sido hackeado logicamente te da igual el hash y todo lo demas , entras y listo o mejor aun guardas la contraseña y entras cuando quieras .pero si esto pasase no seria responsabilidad de la web si no del usuario , esto no es controlable de ahy que no pueda haber nada 100%100 seguro sobre hijacking