Есть несколько вещей, которые вы можете сделать, чтобы улучшить ситуацию.
В файле web.config установите cookie = "All" для файла cookie: http://msdn.microsoft.com/en-us/library/1d3t3c61.aspx. Это зашифрует и подтвердит, что усложнит взлом на стороне клиента.
Кроме того, для файлов cookie httpOnly может быть присвоено значение true. Это говорит браузеру, что cookie не может быть обработан в javascript.
Элемент в web.config также имеет настройку времени ожидания (см. Ссылку выше). Возможно, что реализация Microsoft достаточно умна, чтобы не зависеть исключительно от cookie, но я не знаю.
Другие комментарии верны, что клиенту никогда нельзя доверять. Таким образом, чтобы быть герметичным, вы захотите отследить «последний вход в систему» на сервере и принудительно ввести новый вход через некоторое время.