no pienses que no lo tuve en cuenta, por eso en el comentario de $pass = '' añadí "previamente encriptada en md5...
esto es solo una medida de seguridad algo extrema, pues en el caso remoto de que un usuario consiga acceso al servidor por medio de SSH o FTP o alguno parecido este podría ver la contraseña y esto sería un problema si acostumbras a usar la misma pass para todo, e-mail, blog, foros, etc...
por cierto, el captcha, veré si te preparo uno, pues un robot podría pasar de la cookie que identifica la session, con lo cual $_SESSION['count'] siempre sería 0