È principalmente un guadagno. Dal punto di vista della sicurezza, le sessioni dovrebbero scadere rapidamente, ma dal punto di vista dell'usabilità, gli utenti non vogliono dover accedere costantemente. Se si intende consentire l'accesso persistente, offrire un meccanismo per cancellare gli accessi persistenti è un buon (quasi obbligatorio) idea. In questo modo un utente può ripulire se stesso se si rende conto che potrebbe essere connesso da qualche parte che non desidera essere.
L'unico lato negativo che riesco a vedere è un utente malintenzionato che lo utilizza per bloccare un utente legittimo, ma che può essere superato semplicemente tenendo traccia se la sessione corrente ha avuto un accesso e solo sessioni di cancellazione che vengono salvate negli accessi. (Pensa al modo in cui Amazon mantiene il tuo "login" ma ti chiede di inserire la tua password la prima volta che vai a fare un acquisto.)
In questo modo, si ottiene la sicurezza di essere in grado di garantire che le vecchie sessioni salvate vengano cancellate, ma anche di impedire a un utente con le credenziali dell'account di essere escluso dal sistema. Hai ancora una condizione di gara per chi può cambiare prima la password, ma se sei preoccupato di questo, puoi aggiungere ulteriore sicurezza al cambio di password.