Estoy intentando implementar un mecanismo de autenticación de formularios Asp.net muy básico para un sitio MVC. El problema que estoy obteniendo es que mi cookie de autenticación está configurada para expirar después de un año, mientras que no quiero que caduque después de tanto tiempo. Aquí está algo de mi código:

web.config

<authentication mode="Forms">
  <forms loginUrl="~/Account/Login" timeout="2" />
</authentication>

controlador

...
FormsAuthentication.SetAuthCookie(username, false);
...

He encontrado estoresponder (esta pregunta es similar pero en mi caso el tiempo de espera nunca se produce) pero ¿es esta la única forma de hacer que la cookie caduque o estoy haciendo algo mal aquí?

Cuando veo la cookie, está configurada para caducar después de un año, aunque debe expirar después de un par de minutos, ¿por qué?

Lo que quiero es que de alguna manera el usuario cierre la sesión después de un tiempo y pensé en establecer la caducidad enforms ¿La etiqueta haría el trabajo?