Зачем изобретать велосипед, не проще ли куки привязать к ип адресу (здесь могут быть два варианта - к примеру в профиле пользователя хранится IP адрес с которого можно залогинится, или при создании cookie набора в кукисы вносится информация об ip адресе, и при повторной авторизации с этими куками - проверяем соответствие ip в куках и ip клента. Здесь естессно формат записи ip-адреса в куках не должен быть plain/text.
Еще один интересный вариант авторизации - ключевой файл который требуется подгрузить на сервер для авторизации...
Но в любом случае - все это развалится если весь ваш трафик слушается, и arto прав - для финансовых систем необходим ssl, или...
в http можно инкапсулировать аналог https.
Такие разработки велись кое-где (к примеру форум -http://www.security-teams.net/index.php?showforum=26. а так же обсуждение здесь -
http://poizon.net.ru/cgi-bin/ikonboard/ikonboard.cgi?act=ST;f=6;t=17 ) но это все относится в основном к конфидециальному общению, хотя кое-что можно и прикрутить для авторизации.
