Şifreyi md5 ile sessiona kaydedin. Şifre kontrol yaptırın şifre değişmiş ise session_unset yaptirin böylesi daha iyi olacaktır.
Tamam, session da kullanıcının id si olması güvenlik açığı yaratır mı? Çünkü dediğiniz yöntem ile kullanıcının şifresi değişirse oturumu kapatıyor. Ama kullanıcı id session da kalmaya devam ediyor.