direi di no...

sono mica due sole righe...

devi aprire la cartella dove ci sono i file.... leggere i nomi dei file, aprirli e deserializzarli.

Se poi qualche pirla ha messo in sessione user e password...

per contare quelli ancora validi guardi la data/ora ultima apertura del file, rapportata al tempo di scadenza della sessione lato server. Puoi contare quelli ancora validi lato server... se lo user ha lasciato non e' dato a sapere.

Ovviamente si presuppone tu lo faccia "sulle tue" sessioni, e quindi salvate in un "TUO" path.
Dentro un file di sessione c'e' solo quello che tu ci hai messo. Altre "madonne" non ne trovi.

Se hai questa esigenza considera seriamente di mettere le sessioni su db.