hahaha, el más clásico identificador es con el id del usuario y la contraseña, te recomiendo eso, pero también te debe faltar permisos por usuario, ósea si alguien logra entrar a tu sistema, solo las personas que tengan autorización del admin puedan ver cierta información, tampoco no sea tan tonto de poner id de usuario demasiados fáciles, como también las contraseñas, valida también que se puedan conectar un usuario por cuenta, maneja estados, también agrego que si se equivocan más de 3 veces al loquearse que se bloquee la cuenta, también puedes que en vez de pedir idUsuario + contraseña puedes pedir una pregunta secreta como una tercer parámetro de identificador. En si puedes agregarle muchos mecanismos de seguridad a tu sistema, solo es cuestión de creatividad.
Edito que al loquearse apártate de iniciar la sesión como digamos $_SESSION[‘miSession’] = $variable, puedas concatenar una variable alfanumérica autogenerada aleatoriamente para que en las demás paginas no solo preguntes que si la sesión exista, también preguntas que si la variable generada aleatoriamente coincida para que tengas algo mas seguro que una simple sesión.
Saludos de tu buen amigo Licarium.