Я только что начал проект Silverlight, который использует изолированное хранилище для хранения токена входа, который ранее хранился в файле cookie, когда приложение было написано в ASP.NET.
Единственное, что я заметил в конечном результате, было то, что каждый тип браузера запоминал одного и того же пользователя (в отличие от решения cookie, где каждый браузер имел свое собственное хранилище cookie и свое представление о том, кто вошел в систему).
Безопасность не будет существенно отличаться - если вы склонны - шифровать токен. Хотя на самом деле зачем тебе это беспокоить? Если какой-либо процесс имеет доступ к личным данным AppData, он получит доступ ко всем видам конфиденциальной информации.
URL-адрес приложения определяет доступ, поэтому никто не может получить доступ к данным, пока не истечет срок действия вашего доменного имени.