Deberías nunca jamás almacenar texto sin formato o incluso contraseñas descifrables en su base de datos a menos que usted los ha generado y el usuario no puede ¡ingrese uno personalizado!
La forma más común es almacenar el hash de la contraseña en la cookie que también está en la base de datos. Sin embargo, esto permite que cualquier persona inicie sesión con solo conocer el hash, sin acceso a la contraseña original. Así que no vayas por ese camino aunque obviamente es el más fácil.
Un enfoque seguro sería almacenar un "hash de inicio de sesión" único y aleatorio en la base de datos y configurar este hash más la identificación del usuario en la cookie. Eso no solo haría que el hash de la contraseña fuera inútil para iniciar sesión, sino que también le permitiría crear una función de "cerrar sesión en todas partes".