Zmiana ważności ciastek sesyjnych jest możliwa, ale to zdecydowanie złe rozwiązanie.
Utwórz nowe pole w bazie danych w tabeli z użytkownikami z hashem autologinu, jaki będziesz generował po zalogowaniu - np. składający się z nazwy użytkownika, hasła, ip komputera, być może nawet useragent albo inny fingerprint przeglądarki. Te ostatnie parametry są ważne, żeby wykradnięcie ciastka nie było równoważne z możliwością zalogowania się na innym komputerze. Swojego czasu totalnie spieprzyli sprawę programiści phpBB, bo hash autologinu składał się chyba tylko z id użytkownika i dzięki temu właściwie każde forum było otwarte dla każdego. Taki hash wysyłasz w ciastku o ważności 24 godzin. Gdy użytkownik wejdzie na stronę, a ciastko sesyjne będzie już przedawnione, sprawdzisz czy istnieje na komputerze ciastko z odpowiednią nazwą i sprawdzisz w bazie danych do którego użytkownika się odnosi.