So what I’ve done in the past is hold the username and password used in a cookie,then re-authentic this with every request.

你不应该使用这种方法。密码不应存储在认证券中。原因是如果认证券遭到入侵，则攻击者具有用户的密码。这种风险可以通过加密身份验证券cookie来缓解，但我认为您是以纯文本形式存储cookie。

My concern is that by using the SetAuthCookie() method call,that the username is being stored on the client machine. Is it then possible for someone to break the encryption being used and substitute the username being stored for another?

正如Shiraz指出的那样，如果您创建一个持久性的cookie，cookie只会保留在客户端计算机上。 (SetAuthCookie的其中一个参数指示是否创建此类Cookie。

即使有人打破了加密方案来修改cookie，以提供不同的用户名，因为身份验证单也被数字签名，这意味着ASP.NET可以检测cookie的内容是否已被修改。要创建数字签名，攻击者将需要知道服务器使用的盐，如果用户可以确定这一点，这意味着他可以访问您的Web服务器的文件系统，所以现在你有更大的问题。

另一件需要了解的是，认证券有一个到期期限，这对票证的有效期有一定的限制。因此，即使有人窃取用户的Cookie，攻击者必须使用该被盗票的时间将根据您为表单身份验证系统指定的超时值(默认为30分钟)而受到限制。

总而言之，官方ASP.NET表单认证系统将比单独开发人员能够实现的安全性更加安全。开发人员应该努力使用表单认证系统，而不是自己的解决方案，包括更好的安全性，不必重新开发轮子，采用标准做法，因此加入团队的其他开发人员没有这么大的学习曲线起来加快速度，等等。

有关表单身份验证系统的详细细节以及票证的安全性如何，各种< form>配置设置工作等，见：Forms Authentication Configuration and Advanced Topics。