Hasha z pass_hash nie złamałem ale masz id sesji, to bardzo dużo. __cfduid to pewnie jakaś losowa, bezwartościowa zmienna. Ale z PHPSESSID możesz przeprowadzić atak typu session hijacking. Czyli, być może, przejąć czyjąś sesję. Na ludzki: możesz dostać się na czyjeś konto. Wystarczy, że podmienisz w swoich cookiesach nr sesji na ten wykradziony, odświeżysz stronę i już będziesz na czyimś koncie. Pod Firefoksa jest plugin który Ci pomoże, nazywa się chyba "Cookies Manager", odpalasz go, podmieniasz wartość sesji z Twojej na wykradzioną i odświeżasz stronę. Zazwyczaj postać PHPSESSID to md5 i nie musisz go łamać, wystarczy Ci to co wkleiłeś - "bf1e8db57cd10108dd6f068783af432d". Ten numer sesji który wkeliłeś na nic Ci się już nie przyda pewnie bo sesje mają ustalony czas wygasania, musisz dostać go znowu. Koniec końców wiele stron jest podatnych na ataki na sesje
.
https://www.owasp.org/index.php/Session_hijacking_attack