La session la crei tramite SESSION di ASP? Se è così allora i cookie li usi quindi potrebbe dipendere dalle impostazioni del browser.

Se non vuoi usare i cookie (l'oggetto SESSION in realtà contiene cookie che provengono dal server e risiedono anche su client), puoi gestire gli accessi tramite DB ma devi portarti dietro le variabili di accesso. Mi spiego:
- l'utente fa login
- verifichi i dati di accesso
- se sono corretti, crei un nuovo record in una tabella (ad esempio LOGACCESSI), nella quale c'è un campo ID (contatore)
- tramite questo ID, fai un redirect verso l'homepage (ad esempio home.asp?ID=<valore generato>
- nella home verifichi che l'ID ricevuto sia presente nella tabella LOGACCESSI. Se c'è, visualizzi la pagina, altrimenti rimandi al login

Tutto questo ti consente di non far viaggiare in rete dati dell'utente (username, password, codice, ...)ma solo un numero che però a te serve per capire di chi si tratta.

L'alternativa è passare ad asp.net che permette la gestione delle sessioni senza utilizzare i cookie.