Lorsque vous vous authentifiez sur un site Web, une session est créée. Les sessions sont gérées sur les appareils grâce à l'utilisation de jetons de session ou de cookies qui ne sont qu'un identifiant que votre appareil fournit au site Web pour lui faire savoir quel appareil fait la demande. Lorsque le site Web voit l'identifiant, il sait qu'il fait référence à une session spécifique et vous permet de rester connecté.
Astuce: C'est pourquoi il est important de garder les jetons de session privés. Si un attaquant peut accéder à un jeton de session, il peut le fournir au serveur et il ne peut pas dire que l'attaquant n'est pas légitime à moins que d'autres méthodes de vérification soient utilisées en tandem.
Les jetons de session sont souvent créés avec une date d'expiration afin que votre session ne soit pas valide pour toujours. Cela permet de réduire le risque qu'un jeton de session individuel soit compromis par un attaquant alors qu'il est encore valide et réduit la nécessité pour le serveur de suivre tous les jetons de session valides.
En règle générale, les jetons de session expirent également lorsque vous cliquez sur le bouton « Se déconnecter », cependant, certains sites Web ne le faites pas correctement et il peut donc être possible d'utiliser un ancien jeton de session même après que l'utilisateur se soit connecté dehors.
ProtonMail expire automatiquement. Les jetons de session sont soit deux semaines d'inactivité, soit après six mois, bien que la modification de votre mot de passe réinitialise explicitement le compteur de six mois. Pour vous aider à gérer manuellement votre risque de compromission de sessions valides, ProtonMail vous permet de voir une liste de toutes les sessions actuellement valides et d'y mettre fin.
Pour accéder à votre liste de sessions, cliquez sur « Paramètres » dans la barre du haut, puis passez à l'onglet « Sécurité ». Vous pouvez trouver la section « Gestion des sessions » à droite de la fenêtre. Ici, vous pouvez voir une liste de toutes les sessions actuellement valides, à quelle plate-forme elles sont destinées, à quel compte d'utilisateur elles sont destinées et quand elles ont été créées. Vous pouvez soit supprimer des sessions individuelles en cliquant sur le lien « Révoquer » correspondant, soit les révoquer toutes en cliquant sur « Révoquer toutes les autres sessions ». Dans les deux cas, vous devrez ressaisir votre mot de passe pour confirmer la légitimité de la demande.
