Primero aprende bien lo que son las sesiones y como se propagan, ya que el mecanismo por defecto es una cookie justamente.

El cifrar una sesión de nada sirve, ya que estas están en el servidor y la única forma de que sean un problema de seguridad, es si alguien tiene acceso físico al servidor.

La cuestión de encriptar passwords es lo que tienes que verificar, puedes usar crypt() para hacer un hasheo del password, o usar otros métodos para encriptar realmente el password.

Saludos.