Wo liegen überall die Schwachpunkte wenn ich z.B. einen Hash dieses Passwortes, dass ja beim Login eingegeben wurde, in der Session Speichere

Wenn sich ein User mit seinem Passwort ausgewiesen hat, gibt es keinen Grund, das Passwort in der Session zu speichern. Was Du in der Session speicherst, sind Dinge, die später mal gebraucht werden, z.B. user-id, user-name, user-group und evntl. den Zeitpunkt der Anmeldung.

und dieses dann als Passwort zum ver- und entschlüsseln verwende?

Nein, nicht mit dem Passwort, zum Entschlüsseln von Nachrichten wird ein Schlüssel benötigt, den jeder, der Lesen will, kennen muss und das kann nicht das Passwort eines Benutzers sein.

Es gibt ein Buch von Manfred Lipp, da ist das Diffie-Hellmann-Verfahren für den Schlüssel-Tausch beschrieben.