Зависит от того, как вы проводите аутентификацию. Сгенерированная стандартными формами аутентификация предполагает, что для входа в систему требуется имя пользователя.
Поэтому, когда пользователь пытается войти в систему, вы должны проверить его имя пользователя и пароль по базе данных. Если все правильно, то вы можете сделать.
FormsAuthentication.SetAuthCookie("UserName",true/false);
Если вы написали свое пользовательское подтверждение членства, тогда вы можете установить AuthCookie на что-то еще, например, Id или Email. Это просто должно быть уникальным.
То, что вы говорите об идентификаторах, нетрудно расспросить, не должно быть важно. Неавторизованные лица не должны иметь возможность выполнять FormsAuthentication.SetAuthCookie. Вы всегда должны проверять, правильно ли указаны пароль и имя пользователя.
Надеюсь, тебе это понятно?