database sarebbe più sicuro, e più maneggevole. Il file di testo è ok, se proprio non hai a disposizione un database. Sarebbe meglio comunque mettere il file di testo fuori dal percorso accessibile da internet/intranet nel server.

Metodo più sicuro? Mah, io farei con le sessioni e buona notte. Trovi diverso materiale a proposito della gestione utenti nella sezione php del sito.

Ciao