Не прав: логин и пароль отправляются на сервер, где и должна происходить сверка. Как она будет организована - вопрос десятый, можно хоть файлом. Другое дело, что, внимание, JavaScript исполняется исключительно на стороне клиента. Можно запрашивать файл с сервера, но очевидно, что по безопасности это тоже самое, что и пускать вообще без пароля.