1. Mi sembra che le API standard di asp.net siano sufficienti per questo compito. C'è un ottimo articolo dal team di MS P&P sulla protezione dell'autenticazione basata sui moduli, dovrebbe aiutarti.
2. Non ho tale esperienza, ma ecco un collegamento con l'articolo .
3. Non lo so :(
   Raccomando inoltre di controllare AntiXSS strumento, può mostrarti alcuni potenziali buchi xss. E un'ultima nota, non fidarti mai dell'input dell'utente .