Camran, o que você está tentando fazer é uma maneira padrão de manter as sessões do php. Na verdade, você não está armazenando a senha na sessão, mas apenas armazenando as informações que esse usuário em particular já fez login.$_SESSION['pass_ok']='1';
Em cada página você só precisa fazer um session_start() e verificar se esta sessão já está definida como 1, se sim, eles assumem que ele está logado e continuam, senão redirecionam para a página de login.
Se alguém conseguir o ID da sessão, definitivamente poderá acessar a sessão do usuário. Você pode fazer algumas coisas para torná-lo mais seguro.
- Use SSL (https), isso dificultará o rastreamento dos dados e obter o ID da sua sessão
- manter o ip do cliente na sessão quando o usuário logar, para cada requisição após o login, verificar se as requisições são provenientes do mesmo ip
- Defina um tempo limite de sessão curto, para que, se ficar inativo por um tempo, a sessão expire automaticamente.