Esta é uma das coisas que deve ser extremamente simples e eu não posso descobrir por que não está funcionando.

Estou tentando configurar uma autenticação muito rápida para um aplicativo ASP.net 3.5, mas armazenando os nomes de usuário e senhas no arquivo web.config (eu sei que não é muito seguro, mas é um aplicativo interno que eu continuo sendo solicitado a adicionar e remover logins para que esta seja a maneira mais rápida de fazer isso).

Então, a seção de configuração relevante se parece com isso:

<authentication mode="Forms">
   <forms loginUrl="~/login.aspx">
    <credentials>
     <user name="user" password="password" />
     <user name="user2" password="password2" />
    </credentials>
   </forms>
  </authentication>

  <authorization>
    <deny users="?"/>
  </authorization>

E, na página de login, o código se parece com isto:

string username = tbUsername.Text;
string password = tbPassword.Text;

if (FormsAuthentication.Authenticate(username, password))
    FormsAuthentication.RedirectFromLoginPage(username, false);

Mas, FormsAuthentication.Authenticate (username, password) sempre retorna false. E eu não consigo descobrir o porquê.

Eu até tentei usar Membership.ValidateUser, mas isso só adiciona em um banco de dados local para a pasta App_Data.

Existe algo realmente básico que estou esquecendo aqui ou isso não funciona em .net 3.5?