In den rules() wird durch diese Bedingung festgelegt, dass das Attribut password mit der benutzerdefinierten Funktion authenticate() validiert werden soll:
array('password', 'authenticate'),
Auf der nächsten Seite (Erstellen der Action) wird die Validierung mit $form->validate() ausgeführt.