2021-12-22T08:35:36 styx-cc

Ich hatte da eher im Kopf, der Benutzer bemerkt in seinem Account Veränderungen die er nicht getätigt hat (Versuch der Änderung der Bankverbindung z.B.) und wird nervös, versucht zügig das Passwort zu wechseln - und genau hier ist imho eine neue Session angberacht, andernfalls hat der Benutzer ein neues Passwort und trotzdem nichts gewonnen.

Passwort ändern ist schon richtig als Maßnahme. Aber wenn Du davon ausgehst, dass Deine laufende Session gekapert wurde, dann solltest Du in keinem Fall in einer gekaperten Session das Passwort ändern. Das neue Passwort hat der Hacker damit auch gleich. Also immer zuerst die Session beenden und dann in einer neuen Session das Passwort ändern.

Technisch gesehen ist das Kapern einer laufenden Session um einige Größenordnungen aufwendiger als das Erraten/Ausspionieren eines Passworts. Dazu muss entweder das Netzwerk oder das System des Nutzers komprommitiert sein. Und wenn's so weit gekommen ist, dann kann man nicht mehr wissen, was der Hacker alles anrichten kann und was nicht. Das kommt aber schon vor: Web-Anwendungen, bei denen es wirklich um Geld geht, verlangen deswegen bei Überweisungen höherer Beträge eine 2-Faktor-Authentisierung auch während einer laufenden Session.

2021-12-22T08:35:36 styx-cc

Ob nun "automagisch" weil vorher schon eingebaut oder explizit, hauptsache die Session ist auf anderen Geräten ab sofort ungültig - oder habe ich einen denkfehler?

Kein Denkfehler, das ist richtig: Andere Sessions sollten ungültig werden.