Hay 2 razones principales por las que las cookies son más fáciles de robar que las credenciales de inicio de sesión:
Las cookies se envían para cada solicitud, las credenciales de inicio de sesión solo se envían una vez para cada "sesión"
Si huele una red, es menos probable que esté en el lugar en el que un usuario realice un inicio de sesión con su nombre de usuario y contraseña.
Por otra parte, las cookies se envían para cada solicitud al servidor web. Es más probable que pueda capturar una cookie de sesión que una autenticación de nombre de usuario / contraseña.
Es difícil predecir qué parámetros GET / POST que contienen las credenciales de inicio de sesión
Detectar las credenciales de autenticación reales en la web puede ser un poco complicado. Esto se debe a que virtualmente cada aplicación web tiene su propia forma de hacerlo. Es difícil anticipar todas las distintas URL de autenticación.
Por ejemplo:
GET /login?username=dogeatcatworld&password=letmein
GET /auth?u=dogeatcatworld&p=letmein
GET /auth?auth=<base64encoded credentials>
Las cookies, por otra parte, siempre existen en el encabezado HTTP, y es trivial extraerlas de las solicitudes.