Τελικά είπα να πάω σε ssl...
Το σκηνικό είναι το εξής:
Βάζω ένα certificate στον IIS και ζητάω ecryption. Ο client πλέον σε κάθε request στα services βάζει μέσα username και password τα οποία δεν έχω φόβο να μην τα δει κανείς αφού πηγαινοέρχοναι encrypted; (τώρα που το γράφω σκέφτομαι... το response είναι encrypted. Το request όμως που έχει μέσα το password είναι encrypted; Ο client δεν έχει certificate...)
Τεσπά, λύνεται και αυτό, οπότε, αν τα σκέφτομαι σωστά, γλυτώνω το expiration των tickets, plus, έχω και encryption στα δεδομένα μου...

Μμμ, αν βάλω και ένα check για το IP του client νομίζω ότι έχω καλύψει πολλά θέματα...

Πείτε μου pls, αν νομίζετε ότι είμαι κάπου λάθος...