Aloha,
Aber: kann man statt darauf zu warten, dass der Benutzer eine geschützte Seite anschauen will, auch aktiv auf der Startseite z. B. eine Eingabemaske für Benutzer/Passwort angeben, damit man sich direkt prophylaktisch "anmelden" kann?

Ein Loginsystem baut auf eine Session und hat mit .htaccess gar nichts mehr zu tun. Im einfachsten Fall wird eine Session vor dem Login aufgebaut, das Login setzt dann darauf auf. Andernfalls wird eine Session erst nach dem Login aufgebaut oder die Session wird nach einem erfolgreichen Login erneuert.

Du brauchst einen Speicherort, wo die Credentials (Benutzername, Passwort) hinterlegt sind und einen Speicherort, wo ein erfolgreicher Login so gespeichert ist, dass er bei jedem, nach dem Login erfolgenden Request abgefragt werden kann (Logintabelle mit z.B. Name, Gruppe, Anmeldezeitpunkt).

Bei vielen Benutzern brauchst Du eine Benutzerverwaltung. Vom Einfachen zum Komplizierten, baue ersteinmal eine Session auf, Schritt für Schritt.

MfG