Cookies gibt es bei der Seite nicht, auch keine Sessions oder Users. Das Passwort ist tatsächlich fest, ich würde das als Hash fest eintragen und gegenprüfen. Es wäre auch egal wenn nach einem Reload der Seite wieder zunächst die Passwortabfrage erscheint.
Daher die Überlegung mit AJAX die zwar für diese eine Seite etwas mehr Aufwand wäre, aber am bisherigen Prinzip nichts ändern würde.