fermo restando che anche usando session e cookies devi avere una tabella o un file o qualcosa con cui cpontrollare la password.... il metodo migliore è la combinazione delle tre cose:

form per controllare la password.... se la password è buona la sessione viene validata.. così d'ora in avanti quella sessione basterà ad accedere a tutte le pagine riservate...

il cookie lo setti se l'utente seleziona "ricorda dati d'accesso"... o qualcosa del genere... in modo che ai successivi accessi non debba reinserire la apssword.

E' molto importante che questa sia una scelta dell'utente e non il caso standard.

In ogni caso prevedi una funzione logout che cancelli il cookie e distrugga la sessione