1) передается на сервер, например, через POST запрос
2) тож самое, передается на сервер. Возможно, в обработанном виде (хеш от пароля вместо самого пароля). В ответ на запрос логина могут придти cookies сессии, по которым сервер будет автоматически идентифицировать пользователя без необходимости ввода пароля.
3) cookies, которые отправляет браузер при каждом http запросе - в них может в том числе содержаться имя пользователя. Да и идентификатор сессии, о котором уже упоминал.
Максимальный размер cookies зависит от браузера, но, к примеру, 4 КБ куков в КАЖДОМ HTTP запросе - вполне реально. Учитывая, что при загрузке одной страницы посылается несколько десятков запросов, считаю http сильно неэффективной штукой