Mai mettere dati sensibili come la password nel file di sessione. Per default la cartella di questi file e' /tmp aperta in lettura e scrittura a tutto il mondo.

Identifica l'utente ed associa in sessione un tuo parametro che confermi l'autenticazione.

Per il phpsessid aggiungerei che se l'utente non si fida dei tuoi cookie non vedo perche' mai tu debba fidarti dell'utente. No cookie? No party!.