alla fine abbiamo optato per questa opzione:
- creiamo un'altra tabella con idutente e password, salvata in SHA512
- il vecchio applicativo, cheì cmq continuerà ad esistere, continuerà con la sua autenticaizione
- e si occuperà anche di creare / modificare la password SHA512 in questa nuova tabella
- la nuova api farà una classica query cercando per nome utente e password mettendo in join le tabelle standard con questa nuova

in questo modo posso scrivere l'api come mi pare senza stare a preoccuparmi del MembershipProvider.
anzia, visto che a quanto pare ci sono problemi nell'installare una nuova versione del .NET sulla macchina (non so quali, non sono io che me ne occupo), è probabile che l'api la scriverò in un altro linguaggio.

ciao e grazie per le dritte!