yo lo hago contra la BD, ejecutando un procedimiento almacenado que le paso el login y password para compararlos.

con asp limpio los caracteres para evitar el sql inyection y ya.