Che flash sia la cosa meno sicura quando si tratta di login & c è ormai saputo...il consiglio che dai tu è già stato dato 1000-2000 volte proprio perchè si è visto che coi decompilatori ci vuol nulla a trovare pass e simili dentro a un .swf o su un .txt
Il metodo di usare un linguaggio server-side tenendo i dati in un database e mandando dalla pagina server-side solo una risposta "sì" "no" è quello bene o male più usato direi, è anche abbastanza sicuro dato che fai una cosa analoga a quella che faresti senza usare flash, solo che la pagina server-side manda un dato a flash invece che mandare subito alla pagina "protetta". Diciamo che se puoi fare a meno di flash per que login è meglio , altrimenti come soluzione va abbastanza bene, in fondo anche se l'utente sa l'url della pagina .asp non può comunque sapere i dati contenuti nel database