Myakire, lo malo de ese metodo es que no sabras exactamente cuando se va, y si el usuario cierra su navegador sin un Log-Out pues quedaria permanente hasta que corre en onSession_end del global.asa, que es el unico punto que se me ocurre para quitar la marca.

Otra cosa que hacen muchos es por actividad, es decir lo mismo que tu mencionas, pero para no dar de nuevo acceso revisan la actividad del cliente, es decir, en la DB llevas una fecha de ultima actividad, y basado en eso cuando han pasado mas de X minutos desde tu ultima actividad entonces es cuando permites un log-in nuevamente.