Tuttavia da quello che so anche le sessioni sono indirettamente dei cookie...per cui dovresti chiedere la password ogni volta che l'utente va su una pagina 'semipubblica'. Non è bello.