Come fa anche Amazon, per alcune "funzioni" sensibili (es. l'acquisto), viene comunque rischieto il login.

Per quanto riguarda la seconda domanda, è possibile o inserire nel campo la password in chiaro (es. se nel DB ci sono le password in chiaro) oppure inserire un hash di autenticazione costituito in un formato specifico (es. {#$hash_di_X_caratter#}). In questo modo se l'utente inserisce manualmente la propria password, lo script se ne accorgerà perchè non sarà nel formato previsto e tenterà l'autenticazione. Se l'utente non inserisce la password, lo script gestirà il login a partire dall'hash. In ogni caso, non ne comprendo molto l'utilità e continuo a pensare che tu stia confondendo questa soluzione con la funzione di salvataggio dei form del tuo browser.