Si usas cookies .. el Password se envia encriptado en formato MD5() al cliente (Navegador en la cookie) y tu sistema ha de "contrastar" constantemente a ese usuario con tu BD o donde tengas los datos del mismo para ver si esos datos son correctos.

Si usas sesiones .. puedes establecer un simple "flag" que indique si está autentificado o no sin necesidad (con el ahorro de recursos de tu servidor) de estar contrastando esos datos constantemente con tu BD de usuarios ... Pues, la sesión se almacena en el servidor (siempre y cuando usese sesiones correctamente: no usar variables de sesión como globales, usar register_globals a OFF preferentemente .. no pasar el SID en enlaces externos a tu sitio .... etc ..). Pero, con sesiones pierdes la opción de "reconocimiento automático" ..

A pesar de eso, Puedes usar una combinación de ambos sistemas (cookies y sesiones) .. Donde guardes igualmente los datos de tu usuaro (usuario y password en MD5() en la cookie). AL entrar a tu sistema .. autentificas por la cookie o por tu formulario de login y de ahí continuas el sistema de autentificación de tus páginas usando sesiones (así por ejemplo funciona este foro si eliges la opción de "reconocimiento automático" ..). Este método "combinado" de sesiones y cookies es lo mas optimo en cuanto a rendimiento y seguridad.

Un saludo,