GUID более «безопасен», потому что нет возможности раскрытия информации в случайном идентификаторе. В противном случае, если имя пользователя известно, пароль может быть извлечен с использованием индивидуального имени пользователя радужная таблица или согласованной атаки, поскольку вы не добавляли соль перед хэшированием. Примечание: MD5 - довольно слабый хеш на данный момент.
Короче говоря, если вам не нужно хранить личную информацию в файлах cookie для действительно очень веских причин, не делайте этого. Вместо этого используйте случайный токен.