es sencillo, en la misma pagina pass.php lo pones todo.
Si el usuario no se ha logueado (con una comprobación como la del post anterior pero ademas comprobando la validez de la pass y la contraseña) le debuelve el formulario para introducir la pass y contraseña, de ser validos debuelve el formulario a rellenar.
De esta forma por mucho que escriban la url pass.php siempre tendrian que registrarse con un usuario valido