Sollte ich vielleicht $_SESSION['auth'] das Passwort zuweisen und dann nochmal in der if-Anweisung überprüfen ob es das richtige Passwort ist, oder ist das unnötig?

Das würde nur den Vorteil bringen, dass alte Sessions bei einer Passwortänderung nicht mehr gültig sind.
Sicher ist das allemal, aber sessions können u.U. geklaut werden, du könntest also andere Sicherheitsmaßnahmen erwägen.
Beispielsweise könntest du je Benutzer nur eine bestimmte Zahl an gültigen Sessions erlauben, denn grade wenn du ohne Dauer-Login arbeitest würden haufenweise gültige aber unbenutze Sessions entstehen. Oder aber du hältst deren Lebenszeit niedrig.

greetz RFZ