Если я правильно понимаю, вы используете случайный md5 как идентификатор для идентификации клиента между запросами без использования его пароля.Это похоже на файл cookie сеанса и будет иметь аналогичные проблемы безопасности.
Если вы полагаетесь только на этот файл cookie, любой, кто украдет этот файл cookie, украдет учетную запись пользователя.Вы можете расширить проверку, сняв отпечатки пальцев с пользователя, проверив агента пользователя и все, что вряд ли изменится между запросами.Обратите внимание, что IP-адрес может измениться.Вы также можете запросить пароль пользователя перед выполнением важных действий, таких как изменение адреса электронной почты или пароля пользователя.
Обратите внимание, что получить доступ к файлам cookie пользователя не очень сложно, даже расширение браузера может это сделать.