Просмотр поста #97277: Различные вопросы по PHP и MySQL

ну кроме кражи кук ничего, да и сессии угнать тоже можно.
храни токены вместо пароля, и при каждой авторизации сбрасывай их и создавай новые.
Если у тебя осталась John5 alpha можешь посмотреть как там сделано