Ну как я уже говорил выше, ИП не всегда есть гуд. Да и автор не совсем прав, обертка md5(md5()) вполне эффективна если проект закрыт, и никто кроме разрабов не знает о том как генерится хеш. Тоесть по сути хакер не знающий алгоритма, не сможет брутфорсить то что он не знает. А использование одного md5() это бонально для большинства.
И да, сессия тоже хранится не вечно, все от настроек сервера зависит. Тут речь скорее идет о том как организовать параметр
remember me? тоесть запомнить человека, и без базы тут не обойдешься... а временную сессию. понятно дело что нет смысла хранить вообще даже в куки.