Quote

Denn der Häsh lässt sich stehlen und knacken mit GPUs.

So? Ich denke Du überträgst mit SSL? Also, wenn Du die Benutzerdaten ohnehin bei jedem Request überträgst (Passwort als Hash), dann brauchst Du auch keine Session. Anfallende Daten können dann im Benutzerkonto gespeichert werden. Nurmalso als Tipp ;)

mfg