in sé quel controllo non ha niente di insicuro.
Basta che tu faccia le cose a modo quando ce li metti, i dati dentro quella sessione.

Ad esempio, buttandola così a caso senza conoscere lo script di login che usi, se la sessione viene creata a prescindere con quei campi vuoti, riempiendoli solo al momento del login (una porcheria, insomma), in quel modo il tuo controllo salterebbe, perchè isset() controlla solo l'esistenza della variabile, ma nulla circa il suo contenuto.