Cuando un usuario inicia sesión en función del método predeterminado de autenticación de formularios, el servidor crea una cookie que contiene datos cifrados (utilizando la clave de máquina como clave para el cifrado).

Significa que si alguien encuentra / adivina / accede a la clave de máquina para el servidor, iniciará sesión en la aplicación web.

He desarrollado algunas aplicaciones que están en 4 servidores. Entonces, codifiqué la misma clave de máquina para todos los servidores en machine.config y no puedo usar el modo de generación automática.

Es posible forzar con fuerza bruta la tecla de máquina? ¿Hay algún otro método? (No quiero usar Windows y Passport) ¿Y es el ticket de autenticación de formularios lo suficientemente seguro? (es decir, aceptable para aplicaciones de banca electrónica)