PHP: Помните меня и безопасность?

В то время как я проводил перерывы в изучении того, как PHP поддерживает Unicode, я старался сделать мои файлы cookie «Remember Me» немного более безопасными. Однако есть несколько вещей, которых я не понимаю, и некоторые из моих собственных размышлений, по которым я хотел бы получить некоторые предложения и мнения.

1) Есть ли какой-либо метод использования функции «Запомнить меня», не использующий файлы cookie? Любопытно, поскольку существуют очевидные недостатки безопасности при хранении файлов cookie аутентификации. Не то, чтобы угрозы безопасности не возникали практически во всем.

2) Поскольку я не работаю с банком или с "очень конфиденциальной" информацией, нужно ли требовать от пользователей вводить свои пароли для более "важных" областей? Кажется, что запоминание логина было бы пустой тратой, если бы мы просто попросили их войти в систему через две минуты.

3) Какой метод хранения аутентификационного cookie-файла является наилучшим (кроме «совсем нет»)? В настоящее время я закодировал эту область, чтобы установить один токен в cookie (хеширование с использованием time (), их пользовательского агента, remote_addr и соли - sha256). Когда указанный пользователь возвращается, он проверяет таблицу сеансов для токена, затем сопоставляет IP с IP для входа в систему. Если токен есть, но IP не совпадает, он молча сбрасывает cookie и просит их войти в систему как если у них его не было.

Еще раз спасибо всем.