Camran, o que você está tentando fazer é uma maneira padrão de manter as sessões do php. Na verdade, você não está armazenando a senha na sessão, mas apenas armazenando as informações que esse usuário em particular já fez login.$_SESSION['pass_ok']='1';

Em cada página você só precisa fazer um session_start() e verificar se esta sessão já está definida como 1, se sim, eles assumem que ele está logado e continuam, senão redirecionam para a página de login.

Se alguém conseguir o ID da sessão, definitivamente poderá acessar a sessão do usuário. Você pode fazer algumas coisas para torná-lo mais seguro.

• Use SSL (https), isso dificultará o rastreamento dos dados e obter o ID da sua sessão
• manter o ip do cliente na sessão quando o usuário logar, para cada requisição após o login, verificar se as requisições são provenientes do mesmo ip
• Defina um tempo limite de sessão curto, para que, se ficar inativo por um tempo, a sessão expire automaticamente.