Istuntotunnus on tapa, jolla tietokonejärjestelmä, tyypillisesti palvelin, pystyy tunnistamaan ja seuraamaan yksittäisen käyttäjän toimia tietyn istunnon aikana. Niitä käytetään Internetissä melko laajalti useilla verkkosivustoilla, ja voidaan käyttää erilaisia menetelmiä, kuten evästeitä tai yhtenäisiä resurssien paikannimia (URL -osoitteita), jotka on erityisesti tarkoitettu niiden seurantaan. Käyttämällä näitä tunnisteita järjestelmä pystyy helpommin seuraamaan järjestelmään parhaillaan liitettyjä käyttäjiä ja antamaan kullekin käyttäjälle tärkeitä tietoja. Istuntotunnus luodaan tyypillisesti istunnon alussa ja se on yksilöllinen tietylle käyttäjälle istunnon aikana.
Istuntotunnus, jota kutsutaan myös istuntotunnisteeksi, on numeerinen tai aakkosnumeerinen koodi, joka annetaan tietokonejärjestelmään, kuten verkkosivustopalvelimeen, kytketylle käyttäjälle. Tätä koodia käytetään sitten istunnon aikana kyseisen käyttäjän tunnistamiseen ja sen saamiseen, että hänellä on tietoja hänen käytöstään. Esimerkiksi ostosivusto voi antaa käyttäjän lisätä virtuaaliseen ostoskoriin tuotteita, joita hän haluaa ostaa. Tämä ostoskori luottaisi käyttäjän istuntotunnukseen seuratakseen lisäämiäsi kohteita ja pitääkseen kunkin käyttäjän ostoskorit erillään.
Suunnittelun mukaan istuntotunnus luodaan tyypillisesti, kun käyttäjä vierailee verkkosivustolla, ja tämä voidaan tehdä useilla eri tavoilla. Tämä tehdään usein satunnaislukugeneraattorin avulla, jotta vältetään tehokkaammin hakkerit, jotka voivat yrittää väärin käyttää jonkun toisen tunnistetta. Hakkerit tai muut käyttäjät, jotka yrittävät laukaista jonkinlaista hyökkäystä järjestelmään, voivat käyttää istunnon ennustamismenetelmää yrittääkseen määrittää jonkun toisen tunnisteen ja suorittaa sitten istunnon kaappauksen käyttääkseen tunnistetta ja näyttääkseen toiselta käyttäjältä tuo järjestelmä. Istuntotunnuksen luomiseen voidaan kuitenkin käyttää tarkempia tietoja, kuten päivämäärä tai kellonaika, jolloin käyttäjä aloittaa istunnon, mikä varmistaa, että tunniste pysyy yksilöllisenä eri käyttäjille.
Istuntotunnus on tyypillisesti voimassa vain yhdelle käyttöistunnolle, mutta se voidaan määrittää eri tavoilla eri järjestelmissä. Yleensä istunto alkaa, kun joku siirtyy verkkosivulle, ja päättyy, kun käyttäjä poistuu sivulta. Joissakin järjestelmissä on aikakatkaisutoiminto, joka lopettaa istunnon tietyn passiivisuuden jälkeen, usein noin 10 minuutin kuluttua. Muut järjestelmät tunnistavat jopa istuntotunnuksen sen jälkeen, kun käyttäjä on siirtynyt pois verkkosivulta ja palaa sitten, kunhan käyttäjä ei ole sulkenut Internet -selainohjelmaansa.