Безопасен ли такой механизм remember me?

На сайте есть модуль пользователей, и при логине как обычно можно поставить галку "запомнить меня". При этом кроме того что данные юзер грузятся в сессию, в кукиз еще записывается ID пользователя и хеш его пароля (в виде сериализованного массива из двух значений).
Далее PHP на каждой странице проверяет (если пользователь не залогинен), есть ли у пользователя этот куки, и если есть, скрипт его считывает, берёт ID и хеш и ищет по ним в БД юзера. При совпадении данные подгружаются в сессию. При этом, если при ручном логине есть ограничение на количество неудачных попыток входа, то здесь их нет.

Сейчас задумался, насколько безопасен такой механизм. В принципе, ни логина, ни пароля в кукизах нет. Так что максимум что может сделать злоумышленник - узнать ID и хэш, а также украсть куку и с её помощью залогиниться под этим юзером.
Подумал, может закодировать данные еще в BASE64? - тогда будет трудно определить, что же в куке лежит, и не каждый додумается, как расшифровать данные.

Вообще, вроде как зная только тот факт, что в куках должен лежать ID и хеш, потенциальный хакер ничего особенного сделать не сможет - ведь хеш подобрать практически невозможно. Впрочем, если он начнёт подбирать пароли и кодировать их тем же алгоритмом, которым получен хеш...

Кто что думает по этому поводу? Что надо здесь реализовать, чтобы получить разумно-максимальную защиту от взлома?