Se ha descubierto antes que ASP.Net no utiliza el derecho de cifrado autenticado (por ejemplo, aquí ), utilizaron Mac-luego-cifrar que condujeron a algunos ataques prácticos. Así que me pregunto si uso FormsAuthentication.Encrypt() ahora (con los últimos parches para asp.net 4), ¿usará el cifrado apropiado de MAC?
FormsAuthentication.Encrypt() ahora usa el patrón de cifrado de MAC sobre la IV y el texto cifrado, así que sí, ahora se hace correctamente.
Como nota al margen, depende del elemento machinekey para determinar qué algoritmos de encriptación y MAC se utilizan, vale la pena volver a verificar su configuración para asegurarse de que está configurado para usar AES o Auto (que se resuelve en AES) y no DES (débil) o TripleDES (lento).
Lea otras preguntas en las etiquetas cryptography asp.net