1. Parece-me que é suficiente a API asp.net padrão para esta tarefa. Existe um muito bom artigo da equipe do MS P&P sobre como proteger sua autenticação de formulários, isso deve ajudá-lo.
2. Não tenho essa experiência, mas aqui está um link com o artigo .
3. Não sei :(
   Também recomendo verificar AntiXSS ferramenta, ele pode mostrar alguns possíveis buracos xss. E uma última observação, nunca confie na entrada do usuário .