1. Me parece que es suficiente con la API estándar de asp.net para esta tarea. Hay un muy buen artículo del equipo de MS P&P sobre cómo asegurar la autenticación de sus formularios, debería ayudarlo.
2. No tengo esa experiencia, pero aquí hay un enlace con el artículo .
3. No lo sé :(
   También recomiendo revisar AntiXSS herramienta, puede mostrarle algunos agujeros xss potenciales. Y una última nota, nunca confíes en la entrada del usuario .