En mi opinión, me gusta más usar las variables del servidor, debido a que si el usuario no tiene activadas las cookies no podrá entrar a tu sistema.

Lo que deberías hacer es comprobar si la contraseña es correcta, si es asi creas una variable en el servidor con un valor, por ejemplo: validado=true.
Luego tienes que añadir en cada pagina restringida un include en la cabecera, que examine si la variable esta creada y tiene el valor correcto, en tal caso muestras la pagina y sino lo mandas a la pagina para que haga login.

Para mas información hay un artículo muy bueno en:
http://www.desarrolloweb.com/articulos/1204.php

Enga salu2