Ho aggiunto al mio login in PHP la funzione di remember tramite i cookie.

Ho fatto così:

1) se l'utente richiede il salvataggio dei dati cripta user e password con sha1 e li salva nei cookie
2) all'accesso alla pagina del login verifico se esistono i cookie, accedo al database e verifico se esistono user e password che criptati coincidono con quelli nei cookie
3) se sì propongo nei campi i dati di input e flaggo il check del remember
4) se invece tolgo la spunta sul remember elimina (solo all'accesso) i dati nei cookie

I dati nel database non sono criptati.

Questo mi permette di salvare nei cookie i valori ma criptati per cui anche se uno dal pc vi accede vedrà solo gli hash di user e pass dai quali non potrà risalire a quelli reali e che non potrà utilizzare nel pannello di login.

Cosa ne pensate? E' corretto come procedimento?

Ci sono altri metodi più sicuri per criptare i cookie? HMAC dice qualcosa?