0. Спрашиваем логин-пароль (очевидно, через форму, значения которой по submit передаются в обработчик)
1. Обработчик проверяет поступившие данные на валидность (тут тебе нужно определить правила валидного логина/пароля по ситуации. Например, оба не пустые, содеожат только допустимые символы и т.п.)
2. Если входные данные верны, то проверяешь наличие и доступность своего файла с паролями, открываешь его на чтение (файл лучше положить так, чтобы его невозможно было открыть в браузере по ссылке типа server.com/passwords.txt). Если неверны - выполняешь обработчик неверного пароля для оповещения пользователя.
3. В зависимости от стуктуры своего файла читаешь его в переменную/массив и ещешь там переданные логин/пароль
4. Если найдено ровно одно совпадение, устанавливаешь флаг сессии и прочии переменные окружения, если нет - выполняешь обработчик неверного пароля для оповещения пользователя.
5. Закрываешь файл, выводишь пользователю сообщение об успешном/неуспешном вводе и проч. и проч.
Про сессии:
http://faq.phpclub.ru/practice.sessions.html
