1. Evitas SQL Injection, con lo de bindParam().
2. No guardas la contraseña en la $_SESSION (sí, he visto programadores que lo hace -.-')

Me parecen bastante bien. Quizás podrías mejorar en que la llamada a setcookie(...); pa los mensajes es muy repetitiva. Puedes crear una funcion setMessage(); o algo así para abstraerte de todo eso (y si cambias el sistema de mensajes, no tienes que cambiar tanto código).

Por lo demás esta muy bien tu código en esos sentidos.