Olvídate del cifrado. Está realizando un seguimiento de los inicios de sesión de los usuarios a través de cookies y las cookies solo contienen nombres de usuario. ¿Qué tan difícil es para alguien predecir los nombres de usuario de otra persona? Si no encripta la información de la sesión, siempre existe la amenaza de que alguien pueda detectar la cookie y secuestrar la sesión. Pero en su caso, creo que un usuario no solo puede secuestrar una sola sesión, sino que también puede secuestrar cada sesión de inicio de sesión simplemente cambiando el nombre de usuario en la cookie. OWASP recomienda una ID de sesión de 128 bits de longitud generada a través de un generador de números pseudoaleatorios (PRNG) criptográficamente seguro. Para obtener más información, consulte gestión de sesiones de OWASP .
Una vez que configure la administración de sesión de acuerdo con las pautas de administración de sesión de OWASP dentro del código de su aplicación web, establezca un túnel cifrado y comuníquese a través del túnel cifrado. Mucha gente usa SSL para la parte de inicio de sesión, pero tan pronto como el usuario se autentica, se comunica y vuelve a HTTP. Asegúrese de que la cookie siempre se comunique a través del túnel cifrado también. Si la cookie de sesión está en texto simple, un usuario que rastrea la cookie a través de la red puede volver a reproducir la cookie y obtener acceso a la cuenta del usuario. Firesheep es una herramienta que demuestra la explotación de esta vulnerabilidad con un solo clic.