diciamo che quello che hai detto in parte è vero, ma la differenza è molto più sostanziale.
Uno script lato server reperisce ed elabora le informazioni che fornisce l'utente o un database e poi restituisce una pagina html "pulita". Nel caso della password questa è la soluzione da ricercare.
Uno script lato client (solitamente javascript e non Java, altrimenti parliamo di applet) è usato solitamente per creare effetti dinamici e per fare controlli sui valori prima di inviare i dati al server (sono stato riduttivo, in realtà è possibile fare molto di più) ma tieni conto che gli utenti possono non avere abilitati gli script locali ecc.

Per una applicazione come la tua, sicuramente sceglierei una applicazione lato server, mai e poi mai affiderei la protezione di una pagina a uno script lato client che può essere manipolato e modificato da un utente un po' "sgamato".

In effetti ci sono un po' di script già pronti, sia ASP che PHP. Che tipo di server usi?