Y para que guardan los password en una cookie, si las cookies no son seguras ya que se guardan en el explorador del cliente

lo que tienen que hacer es guardar el IDUSER en una $_SESSION y propagar la sesion via URL colocando el identificador unico de sesión en los enlaces despues consultan a la base de datos si ese IDUSER existe, manejar en una cookie un password es algo inseguro, las password son para guardarlas en una base de datos.