con una sola session no lo veo muy seguro , mete mas seguridad

1 una session con un dato que identifique al usuario y si puede ser cifrado mejor ejemplo
$_SESSION['usuario'] = base64_encode(strip_tags($_POST['usuario ']));

2 una session con un token aleatorio para el usuario
$_SESSION['token'] = md5(rand().$_SESSION['usuario']

3 guardamos en la bd ese token y en todas las paginas comparas la session con el de la bd y si esta bien volvemos generar otro en la session y en la bd

4 una session con las cabeceras y las comparamos en todas las paginas
$ _SESSION ['HTTP_USER_AGENT'] = md5 ($ _SERVER ['HTTP_USER_AGENT'])

5 y por ultimo crea una cadena con todos los datos
$_SESSION['cadena']=md5($_SESSION['usuario '].$_SESSION['HTTP_USER_AGENT'].session_id().aqui en esta session añade lo que tu quieras, yo te puse ejemplo na mas)


como ves ya es algo mas complicado

nunca guardes el password en una session ni envies nada entre paginas sin codificar