Sesiones o no.. eso ya depende, porque las sesiones no son tan versátiles como parecen.

De todos modos, una recomendación, que acabo de volver a mirar el código: no es nada prudente almacenar una cookie 'login' y otra 'password', contenga como contenga al password (encriptado, espero).

Recuerda que las cookies viajan como texto plano por la web y, a menos que uses certificados SSL en todas las ocasiones, es un claro modo de atacar a usuarios.

Imagina que alguien obtiene esas cookies (porque, por ejemplo, se haya instalado un sniffer en un cibercafé); ¡cualquiera podría conectarse como ese usuario, incluso desde que el usuario hubiese cerrado sesión! (Porque podría regenerar la cookie)

Lo que está ahora más "de moda" es generar tokens únicos, y guardarlos en el servidor, de modo que esto sea lo que el navegador envía, y cuando el cliente cierre sesión el servidor destruye de su BBDD el token, de forma que cualquier otro usuario tampoco puede iniciar sesión con él.

También puedes, simplemente, usar sesiones (véase session_start()) u otros sistemas.

Pero esto ya es una recomendación que no venía a cuento de lo que preguntabas