Hola, en principio en este caso lo de las sesiones no es del TODO seguro, aunque con unas cositas en el codigo PHP se podría hacer del todo seguro.

La idea sería que en lugar de incrustar el SWF en un .html, lo hagas en un .PHP...
Una vez tienes eso, haces otro .PHP que contenga un FORM con los campos de USUARIO y CONTRASEÑA, compruebas estos datos en la BBDD.

- Sí son validos los datos, utiliza una "variable de session", por ejemplo $_SESSION['autentificado']=="SI", que consigues con esta variable? pues que en la página .PHP que contiene el SWF puedes comprobar, si dicha variable es igual a "SI" entonces que siga ejecutando codigo PHP para mostrar el SWF, sino es igual a "SI" entonces es que los datos no son validos, con lo cual redireccionas a cualquier otra página con header ("Location: lapaginaquequieras.php");
así no podrá acceder a la pagina que contiene el SWF a menos que los datos que se introduzcan sean validos.

Saludos