Gracias por responder!

Las sesiones las entiendo bastante bien, no tengo problemas, o eso creo.

Lo de que las sesiones están en el servidor no es del todo exacto según lo que yo tengo entendido ya que el navegador del usuario almacena algo de información pero creo que esta información no es más que una especia de hash que el servidor le 'da' al navegador al iniciar sesión para identificarse. Por otro lado me ha parecido leer que existe algo llamado session hijacking pero imagino que sólo supone un problema de seguridad para el usuario en redes locales con un usuario usando sniffer en la misma red local.

Para encriptar contraseñas actualmente uso sha1(md5($contraseña)); desde los primeros días que empecé a aprender PHP por lo que las claves de mis usuarios están almacenadas de esa forma. Aún así imagino que podré cambiarlo por SHA-512, algo así como esto:
crypt('passdelusuario','$6$rounds=543210$randomsal tguardadaenbd$');