В качестве ключа для автоматического входа нужно использовать идентификатор открытой сессии.
Ни в коем случае не хранить пароль.
Нежелательно светить логин и id, по которому авторизовывались.
Идеально, держать подальше идентификатор сессии от JS скрипта, сделать куку только http only и позволить проверять ее только серверу.
Стандартное время жизни сессии - 24 минуты.
Поменяйте настройки session.gc_maxlifetime в php.ini и перезагрузите сервер.
Похожий вопрос на stackoverflow.