Wenn er die Seite besucht und ein Cookie vorhanden ist, überprüfst du ob das PW aus dem Cookie passt und lässt ihn rein.

Nö. Du willst echt nicht jedes mal das PW senden?
habe immer gedacht, dass Sessions das Senden eines PW abnehmen sollen, ausser beim Login.

Nachteil: Jeder der den Cookie ergaunern kann, hat Zutritt zum System + Verzeichnisschutz ist per PHP nicht möglich.

Jau, genau.
Wenn du statt dem PW eine Session-ID zur Fortsetzung der durch erfolgreiches Login eröffneten Session sendest, hast du nur noch das Problem, dass jemand die Session klauen kann, was sich aber bei geeigneten Methoden ebenfalls weitestgehend unterbinden lässt.

mfg Beat