Сергей Яковлев, из вопроса не ясно какие символы разрешены в имени пользователя поэтому я взял наиболее очевидный вариант окончания шаблона по "@" или whitespace символу.
Theory Theory, a-zA-Z0-9 = 62 доступных символа
длина токена 24 символа
количество возможных комбинаций
96,977,332,473,382,725
чтобы проверить работу токена злоумышленнику надо отправлять HTTP запрос на сайт
предположим он отправляет 100 запросов В СЕКУНДУ
96,977,332,473,382,725 / 100 = 969 773 324 733 827 секунд нужно делать 100 запросов в секудну на гарантированный подбор одного токена
969 773 324 733 827 секунд = 30 751 310 лет (30 млн лет)
Какая длина идентификатора в куках? из каких символов он может состоять?
Умножаете одно на другое и посчитайте кол-во возможных вариантов.
Хотелось бы для начала увидеть эти цифры.