El tiempo de expiración de una sesion lo determina:

session.gc_maxlifetime
session.cache_expire

Sobre todo .cache_expire .. (suele estar por defecto a 180 minutos)

Estas directivas se pueden alterar tu valor via ini_set() al principio de tus scripts que usen sesiones .. o simplemente usando para el caso de session.cache_expire:

session_cache_expire()

Pero, .. lo ideal cuando se trabaja con sesiones es determinar un tiempo de session.cache_expire de "0" .. con lo cual al cerrar el navegador se expira la sesion. Si el SID (Identificador Único de Sesión) lo propagas por A o B mótivo hacia otro sitio externo al tuyo (en un link por ejemplo) .. Podrían llegar a usar tu propio SID en contra tuya e identificarse en tu sistema como si fuera ese usuario original que inició la sesión.

Un saludo,