hiddenがまずい場合はセッションに格納したりかなとも思ってはおります。

仰る通り、セッションに格納するのが最善と思います。

パスワードは入力した本人のみが知る情報ですが、パスワードのやり取りは最小限に抑えるべきです。
入力画面でのみパスワードを通信でやり取りするのであれば、攻撃者がパスワードを盗むには入力画面で盗み取るしかありません。
が、確認画面でもパスワードをやり取りしているのなら、攻撃者は「入力画面」と「確認画面」のどちらか一方から盗み取ればいい為、パスワードを盗まれるリスクが2倍になります。
勿論、どちらの画面でも問題ないように作るものですが、あえてパスワードを通信でやり取りする回数を増やす理由はないと私は考えます。

入力受付後はハッシュ化してhiddenで持ち回る

これはやってはいけない対策だと思います。
ハッシュ値はサーバ側のみが知っていれば良い情報であり、クライアント側に知らせる必要はありません。
DBに保存されているであろうハッシュ値を知らせるのは得策とは思えません。

Re: yoshihiro_yy さん

皆様はこのような場合はどう扱われていますか？

SSL (https 通信）の採用一択だと思います。

パスワードは入力した本人のみ知っているべき項目なので、
基本はtype=passwordを利用して横から覗かれても分からないようにしていますよね。
再入力時もvalueには何もセットしません。
確認画面でhiddenでも何でもした場合は見せているも同等でtype=passwordの意味がありません。
私の場合は入力項目は全てセッションに入れて確認画面ではパスワードは＊＊＊＊のような表示にします。
万が一、入力ミスがあった場合はログインIDや登録メールアドレスを利用して初期化・再発行をする機能を設けて、
使ってもらいます。
もちろん、そういったパスワード含めた個人情報を入力した利用する画面ではSSL利用が理想です。

確認画面にhidden埋込もセッション格納も、生のパスワードを出力・保持しているという意味でリスクがあります。SSLを利用してもリスクが軽減しているだけで、生のパスワードを扱っているという問題が解決していません。

対策

• 確認画面に遷移しない。

パスワードの入力と他項目（確認が必要な項目）の入力画面を分離し、パスワード入力画面では確認画面に遷移しない。

• 確認画面の時点でパスワードをハッシュ化する。

ハッシュ化したパスワードしか扱わない。この場合は入力画面に戻った場合にパスワードが再入力となります。トレードオフですが今どきはセキュリティが優先されるでしょう。

追記：リスクについて
例えばユーザが確認画面で放置した場合、生のパスワードがブラウザにテキストとして出力、
あるいはセッション情報として保持され続けるという状態となります。この状態は望ましくありません。
その他不測な事態の発生などを考えて、生のパスワードを一時的にでも固定されている状態にするのはリスクがあります。

一度ログインしてしまえば、パスワードが必要になることはないのでは？
ログインしたユーザーIDなどをセッションで引き継いで行くのが妥当です

別の方法として、確認画面を画面遷移しない(submitしない)で出すという方法だと
確認画面経由時に持つ必要もなくなるんじゃないかなと