personalmente anche per asp.net ho seguito il tuo criterio e salvo i dati nelle sessioni. Per dirti: se user+psw son verificate nel database allora Session("AUTENTICATO")="OK" e poi Session("username")=textboxUsername.text ecc ecc..

Ho sentito dire che è possibile implementare delle autenticazione mediante il web config, file contenuto nel progetto che ti genera visual studio (parlo della vs.net 2003 non so se con la 2005 venga comunque generato..ma penso proprio di si) ma, sinceramente, un po' per mancanza di tempo, un po' per collaudato funzionamento delle sessioni nella maniera che ti ho spiegato e che sicuramente conosci,ho preferito sempre utilizzare le sessioni.