1) Como propagas el SID? .. en Cookies? (supongo que sí .. por qué sino "Autentificator" no te iría).

En tal caso, las cookies también tienen su própio tiempo de duración (expiración) que lo define la directiva:

session.cookie_lifetime

Por defecto suele ser de "0" (segundos) .. es decir, dicha cookie se comporta como una cookie de "sesión" donde siempre expira al cerrar la última ventana abierta de tu aplicación ... por ende el "SID" para ese cliente ya no existe .. pero sigue activo en el servidor bajo en el tiempo que define:

sesssion.gc_maxlifetime

momento en el cual (cuando se supere ese tiempo) pasa al estado "garbage": basura, listo para ser borrado el archivo físicamente del servidor según el porcentaje de veces que se inicia/continua con una sesión vía session_start() en las directivas:

session.gc_probability = 1
session.gc_divisor = 100

Al propagar el SID en cookies, tendrás que revisar también los procesos de esos PC's (navegadores concretamente) si eliminan "cookies" por alguna configuración de su navegador o similar.

2) "Autentificator" no controla el tema de "concurrencia". Si quieres puedes desarrollarlo tu mismo .. o bien buscas otro sistema de autentificación que lo haga. En el foro (aquí PHP) hemos conversado várias veces el tema de "concurrencia" y como tratarlo (en teoría) (usa el buscador).

Un saludo,

PD: Podrías haber indicado expresamente que estás usando mi script "Autentificator" .. (por qué hay más usuarios del mismo que podría aportar con sus experiencias).

Un saludo,