Вы действительно можете поддерживать проверку подлинности с помощью cookie, но единственный гарантированный способ ее работы - это присоединение идентификатора cookie в качестве части URL, то есть сеансов без cookie. Да, это плохая практика, так как это уродливо и очень небезопасно, и все современные телефоны поддерживают файлы cookie.
Но некоторые устройства имеют ограничения на использование файлов cookie, и, более того, некоторые сети отбирают всю информацию о файлах cookie из заголовков HTTP, которые проходят через шлюзы, хотя у телефона нет проблем (NTT DoCoMo делает это в Японии). Это может не применяться в вашей ситуации, но об этом следует помнить.
К счастью для вас, ASP.NET легко поддерживает сеансы без файлов cookie. В файле app.config:
<sessionState cookieless="true" />
делает свое дело.