Quando ti autentichi su un sito web, viene creata una sessione. Le sessioni sono gestite sui dispositivi tramite l'uso di token di sessione o cookie che sono solo un identificatore che il tuo dispositivo fornisce al sito Web per fargli sapere quale dispositivo sta effettuando la richiesta. Quando il sito web vede l'identificatore, sa che si riferisce a una sessione specifica e ti tiene connesso.
Suggerimento: questo è il motivo per cui è importante mantenere privati i token di sessione. Se un utente malintenzionato può ottenere l'accesso a un token di sessione, può fornirlo al server e non può dire che l'attaccante non è legittimo a meno che non vengano utilizzati altri metodi di verifica in tandem.
I token di sessione vengono spesso creati con una scadenza in modo che la tua sessione non sia valida per sempre. Ciò aiuta a ridurre il rischio che un singolo token di sessione venga compromesso da un utente malintenzionato mentre è ancora valido e riduce il requisito del server per tenere traccia di tutti i token di sessione validi.
In genere, i token di sessione scadono anche quando si fa clic sul pulsante "Disconnetti", tuttavia alcuni siti web non farlo correttamente e quindi può essere possibile utilizzare un vecchio token di sessione anche dopo che l'utente ha effettuato l'accesso fuori.
ProtonMail scade automaticamente i token di sessione sono due settimane di inattività o dopo sei mesi, sebbene la modifica della password reimposti esplicitamente il timer di sei mesi. Per aiutarti a gestire manualmente il rischio che le sessioni valide vengano compromesse, ProtonMail ti consente di visualizzare un elenco di tutte le sessioni attualmente valide e di terminarle.
Per accedere all'elenco delle sessioni, fai clic su "Impostazioni" nella barra in alto, quindi passa alla scheda "Sicurezza". Puoi trovare la sezione "Gestione delle sessioni" sulla destra della finestra. Qui puoi vedere un elenco di tutte le sessioni attualmente valide, per quale piattaforma sono, per quale account utente sono e quando sono state create. È possibile eliminare singole sessioni facendo clic sul collegamento "Revoca" pertinente oppure revocarle tutte facendo clic su "Revoca tutte le altre sessioni". Entrambe le opzioni richiedono di reinserire la password per confermare la legittimità della richiesta.
