на этом форуме уже было много тем о небезопасных сессиях, была даже статейка Trustmastera по этому поводу(советую прочитать, кто не читал) - Извлекаем чужие сессии в PHP

а вот нормального механизма еще никто не предлагал. Нормального - это значит простого и понятного, чтобы минимум проблем и максимум защиты.

Trustmaster предупреждает, что хранить пароли в куках и сессиях нельзя, их могут стащить, но вопрос:
1. может быть их хранить там в зашифрованном виде, а потом при проверке извлекать, расшифровавать и сверять с записями в БД в таблице пользователей? (mcrypt_encrypt() и mcrypt_decrypt())
2. Можно создать альтернативный обработчик сессий(тоже советовал Trustmaster, только не помню в какой теме) и хранить сессии в БД, чтобы информацию из них никто не смог прочитать, а туда уже записывать незашифрованный пароль например.

я не силен в принципах безопасности, поэтому и возникли у меня такие вопросы. прочитав часть тем в форуме по этому поводу, я не уяснил для себя, какой способ сочитает в себе простоту в реализации и достаточную защищенность.
помогите, пожалста, определиться.

p.s. можно ли как-то еще защиититься от перехвата пароля при отсылке формы при регистрации нового пользователя, например?
я уже говорил, что по этой теме я не спец, хотелось бы побольше узнать о том вообще какими методами можно перехватить. если кто знает ссылку, где это описано - дайте плиз.