1. Человек заходит на ваш сайт. Класс выдает уникальные cookie длиной 100 символов (по умолчанию)
2. Человек вводит логин и пароль, жмет OK!
3. В этот момент создается хеш состоящий из $pass = MD5($cookie.$login.$pass);
4. На сервер уходит 2 переменные: $login и $pass
5. Благодаря тому, что куки создаются каждые 30 минут новые, получается что хеши постоянно разные
6. Даже если у пользователя есть троян, который перехватил форму, то перехватить он сможет только $login+$pass, где $pass - хэш.