si te refieres a que pueden leerlas desde fuera la respuesta es NO, el manejo de sesiones es por excelencia lo más usado en aplicaciones web, se almacenan en el servidor y si puedes acceder a las variables de sesión en todo el ámbito de cualquier script (siempre y cuando session_start sea llamado o el inicio de las sesiones sea automático)

para encriptar las contraseñas sólo necesitas hashearlas con MD5 u otro algoritmo de hash

para garantizar el login de los usuarios puedes implementar SSL, pero un certificado válido es de pago