Im rbaforum wird das in einem Cookie bei dir lokal abgelegt. Das würde dann z.B. diese Zeilen beinhalten:
Cookie: rbaforum_userpassword=83d332kll12n23n35453m13cbe; //dein md5 crypted passwort
rbaforum_userid=1234; //Deine user id
rbaforum_cookiehash=564654dfasdf456a46faay644a
session_12312312=46654641%789; session_1333334=6666666666%2624; session_89999212=11555555%123; session_1377775=4444444444%260; session_14141414=11111111%260; session_1888888=1153333333%260; session_44444444=11111111%260; session_1444459=1162222222%2632
Damit kann dann dein Userpw mit dem Server abgeglichen werden und bei gegebenfalls richtiger session-id aber falschem userpw kannst du trozdem nix mit anfangen, da du das pw ja auch noch haben musst.