Presumo que isso esteja sendo feito além do tratamento de sessão normal como forma de recriar a sessão posteriormente.

Existem algumas coisas que podem ser feitas para melhorar a segurança.

1. Use SSL, dificulta muito a interceptação de cookies.
2. Regenere o hash do cookie após cada uso. Deve ser válido apenas para um login.
3. Se você armazenar isso como 1 cookie para 1 usuário, não funcionará se o usuário estiver em vários dispositivos (o cookie do primeiro dispositivo é substituído pelo cookie do segundo dispositivo).
4. O hash precisa ser aleatório, não deve incorporar nenhum dado do usuário na geração.
5. Os dados do usuário (e-mail, senha em particular) devem exigir uma senha para alterar. Se o cookie for interceptado, o interceptor não poderá alterar os dados da conta.