Si
1. salva le password criptate (con sha1)
2. segui il consiglio di Santino, ti permette anche di fare una sola query (non devi controllare separatamente user e pw)
3. nel reindirizzamento prevedi anche il caso in cui questo non funzioni: aggiungi un link cliccabile dall'utente (come in questo forum)
4. salva da qualche parte (in una tabella ad hoc o in quella utenti) l'ip e/o l'useragent con il quale è collegato l'utente. Quando verifichi l'autenticazione controlli che ci sia la variabile di sessione, ma controlli anche che ip e useragent siano corretti