естественно лучше пользоваться БД

кстати, сугубо из соображений безопасности пароль в чистом виде никогда не хранится.
средствами php можно вычислить значение md5-хэша от пароля и хранить его
а при вводе снова вычислять хэш и сравнивать с имеющимся