Når du godkender til et websted, oprettes en session. Sessioner administreres på enheder ved brug af sessionstokens eller cookies, som blot er en identifikator, som din enhed leverer til webstedet for at fortælle den, hvilken enhed der foretager anmodningen. Når webstedet ser identifikatoren, ved det, at det refererer til en specifik session og holder dig logget ind.
Tip: Derfor er det vigtigt at holde sessionstokens private. Hvis en angriber kan få adgang til et sessionstoken, kan de give det til serveren, og det kan ikke fortælle, at angriberen ikke er legitim, medmindre andre verifikationsmetoder bruges sammen.
Sessionstokens oprettes ofte med en udløbstid, så din session ikke er gyldig for evigt. Dette hjælper med at reducere risikoen for, at ethvert individuelt sessionstoken bliver kompromitteret af en angriber, mens det stadig er gyldigt, og reducerer serverkravet til at spore alle gyldige sessionstokens.
Generelt udløber sessionstokens også, når du klikker på "log ud", men nogle websteder ikke gør dette korrekt, så det kan være muligt at bruge et gammelt sessionstoken, selv efter at brugeren har logget ud.
ProtonMail udløber automatisk sessionstokens er enten to ugers inaktivitet eller efter seks måneder, selvom ændring af din adgangskode udtrykkeligt nulstiller seks måneders timeren. For at hjælpe dig med manuelt at styre din risiko for, at gyldige sessioner bliver kompromitteret, giver ProtonMail dig mulighed for at se en liste over alle aktuelt gyldige sessioner og afslutte dem.
For at få adgang til din sessionsliste skal du klikke på "Indstillinger" i den øverste bjælke og derefter skifte til fanen "Sikkerhed". Du kan finde afsnittet "Sessionsstyring" til højre i vinduet. Her kan du se en liste over alle aktuelt gyldige sessioner, hvilken platform de er til, hvilken brugerkonto de er til, og hvornår de blev oprettet. Du kan enten slette individuelle sessioner ved at klikke på det relevante "Tilbagekald"-link, eller du kan tilbagekalde dem alle ved at klikke på "Tilbagekald alle andre sessioner". Begge muligheder kræver, at du indtaster din adgangskode igen for at bekræfte legitimiteten af anmodningen.
