Ma guarda che non sono combinazioni obbligate, tua form e session o controllo login e non session.

Se usi la FormsAuthentication puoi usare le tecnologie descritte sopra, (il web.config con i settaggi).
Il controllo login è un aiuto che usa chi vuole rapidità nello sviluppo, ma le comodità si pagano e quindi devi studiarti come cambiare il suo comportamento preimpostato (db, tabella).
La scelta è tua, ma dimentica la session per queste cose. Non si usa più questa tecnica, da eoni