Bueno, puedes hacer una cosa...

Cuando un usuario "loguea", guardas su "session id" como "last_session".

Así, si una sesión "antigua" quiere volver a entrar con ese mismo usuario, que le diga "sesión caducada, vuelve a loguear". Y tendría q volver a loguear (al comprobar que el id de la sesion es distinto a last_session de ese user).

Es lo q se me ocurre a bote pronto ;)