le credenziali in chiaro sono una stupidaggine, anche se utilizzate per l'auto-login.
fatti una bella autenticazione con un minimo di criptazione e poi nel cookie ci metti un codice univoco (che registrerai nel DB) valido fino al logout. ovvio che dovrai scegliere come gestire più autenticazioni dello stesso utente su più macchine.

i file riservati andranno messi in una cartella non esplorabile.
tipicamente, sui server windows, puoi usare la mdb-database o sottocartelle.
altrimenti puoi inserire un file web.config con le istruzioni di blocco all'esplorazione (ma con permessi di scrittura) in un altra cartella di tua preferenza.

qui avrai la difficoltà di consultazione proprio perché la cartella non è esplorabile.
dovrai quindi fare una copia al volo del file che ti interessa in un'altra cartella o creare uno script che ti legga il file.
meglio di tutto se salvi il documento direttamente nel database.
non ci sono "problemi di sicurezza" con asp, tutto dipende dal codice che si scrive e dalle procedure create; non dalla tecnologia in se.