Va a ser difícil que puedas controlar eso. La contraseña no vas a poder borrarla porque ese mismo fichero php lo va a usar mucha gente. Lo único que se me ocurre es que uses cookies (que cuando el usuario quiera va a poder borrar) para no dejarle entrar más veces o guardar su ip en base de datos o en un fichero (cosa que también es fácil de engañar). Es lo que pasa si no asignas un identificador único a un usuario. Si tienes que depender de cookies o ips el sistema se vuelve bastante vulnerable.