Читая это обсуждение , мне интересно узнать о плюсах / минусах SecureString против хэша при хранении пароля в сеансе.Есть мысли?
Вы не должны хранить пароль в сеансе. Период.
Вы должны хранить пароли только в виде соленых хэшей в базе данных (желательно с использованием bcrypt или scrypt).