Wenn Sie sich bei einer Website authentifizieren, wird eine Sitzung erstellt. Sitzungen werden auf Geräten durch die Verwendung von Sitzungstoken oder Cookies verwaltet, die nur eine Kennung sind, die Ihr Gerät der Website zur Verfügung stellt, um ihr mitzuteilen, welches Gerät die Anfrage stellt. Wenn die Website die Kennung sieht, weiß sie, dass sie sich auf eine bestimmte Sitzung bezieht, und hält Sie eingeloggt.
Tipp: Aus diesem Grund ist es wichtig, Sitzungstoken privat zu halten. Wenn ein Angreifer Zugriff auf ein Sitzungstoken erhält, kann er es dem Server zur Verfügung stellen und dieser kann nicht erkennen, dass der Angreifer nicht legitim ist, es sei denn, andere Verifizierungsmethoden werden gleichzeitig verwendet.
Sitzungstoken werden oft mit einer Ablaufzeit erstellt, sodass Ihre Sitzung nicht ewig gültig ist. Dies trägt dazu bei, das Risiko zu verringern, dass ein einzelnes Sitzungstoken von einem Angreifer kompromittiert wird, solange es noch gültig ist, und verringert die Serveranforderung, alle gültigen Sitzungstoken zu verfolgen.
Im Allgemeinen verfallen auch Sitzungstoken, wenn Sie auf die Schaltfläche „Abmelden“ klicken, jedoch einige Websites mache dies nicht richtig und so kann es möglich sein, ein altes Session-Token auch nach der Anmeldung des Benutzers zu verwenden aus.
ProtonMail verfällt automatisch Sitzungstokens sind entweder zwei Wochen Inaktivität oder nach sechs Monaten, obwohl die Änderung Ihres Passworts den Sechsmonats-Timer explizit zurücksetzt. Um Ihnen bei der manuellen Verwaltung Ihres Risikos einer Kompromittierung gültiger Sitzungen zu helfen, können Sie mit ProtonMail eine Liste aller derzeit gültigen Sitzungen anzeigen und diese beenden.
Um auf Ihre Sitzungsliste zuzugreifen, klicken Sie in der oberen Leiste auf „Einstellungen“ und wechseln Sie dann zum Reiter „Sicherheit“. Auf der rechten Seite des Fensters finden Sie den Abschnitt „Sitzungsverwaltung“. Hier sehen Sie eine Liste aller aktuell gültigen Sitzungen, für welche Plattform sie bestimmt sind, für welches Benutzerkonto sie bestimmt sind und wann sie erstellt wurden. Sie können entweder einzelne Sitzungen löschen, indem Sie auf den entsprechenden Link „Widerrufen“ klicken, oder Sie können sie alle widerrufen, indem Sie auf „Alle anderen Sitzungen widerrufen“ klicken. Bei beiden Optionen müssen Sie Ihr Passwort erneut eingeben, um die Legitimität der Anfrage zu bestätigen.
