Estube viendo el código de tu script ..

He visto muchas cosas que hacen el script INSEGURO!!!.

1) No guardas en la cookie tus contraseñas encriptadas.
2) No validas los usuarios en tus pass.php y zonaprivada.php .. así que voy a zonaprivada.php .. pongo un nick .. me dá su e-mail .. me voy a pass.php y por e-mail me envia el sistema su contraseña O_o
3) En algunos sitios del código usas $_COOKIE (array superglobal) y en otros $HTTP_POST_VARS .. (independiente del método) .. Debes usar uno u otro método .. pero no mezclarlos.

Te recomendaría usar sesiones en lugar de cookies en general para sistemas de autentificación de usuarios. Así no tendras que propagar tus contraseñas de los usuarios en cookies!.

Un saludo,