Вы могли добавить обработчик событий для HttpApplication. Событие PostAuthenticateRequest в global.asax и дескрипторе перенаправление там.
Просто реализовал это примерно за час, нет необходимости изменять базовую страницу. Вот что вам нужно сделать:
Ответить на событие LoggingIn
элемента управления членством
Найти пользователя в базе данных членства и получить LastPasswordChangedDate
Используя TimeSpan, сравните это с текущей датой и решите, был ли последний раз изменен пароль более необходимого количества дней назад. Я получаю это значение из web.config
Если истек срок, перенаправляйте на экран ChangePassword