Wanneer u zich aanmeldt bij een website, wordt er een sessie gemaakt. Sessies worden beheerd op apparaten door het gebruik van sessietokens of cookies die slechts een identificatie zijn die uw apparaat aan de website verstrekt om te laten weten welk apparaat het verzoek doet. Wanneer de website de identifier ziet, weet deze dat deze verwijst naar een specifieke sessie en blijft u ingelogd.
Tip: daarom is het belangrijk om sessietokens privé te houden. Als een aanvaller toegang kan krijgen tot een sessietoken, kan hij deze aan de server verstrekken en kan hij niet zeggen dat de aanvaller niet legitiem is, tenzij andere verificatiemethoden tegelijk worden gebruikt.
Sessietokens worden vaak gemaakt met een vervaltijd, zodat uw sessie niet voor altijd geldig is. Dit helpt het risico te verkleinen dat een individuele sessietoken door een aanvaller wordt gecompromitteerd terwijl deze nog steeds geldig is, en vermindert de serververeiste om alle geldige sessietokens bij te houden.
Over het algemeen zijn sessietokens ook verlopen wanneer u op de knop "uitloggen" klikt, maar sommige websites doe dit niet correct en het kan dus mogelijk zijn om een oude sessietoken te gebruiken, zelfs nadat de gebruiker heeft ingelogd uit.
ProtonMail verloopt automatisch wanneer sessietokens na twee weken inactiviteit of na zes maanden automatisch verlopen, hoewel het wijzigen van uw wachtwoord expliciet de timer van zes maanden opnieuw instelt. Om u te helpen uw risico dat geldige sessies worden gecompromitteerd handmatig te beheren, kunt u met ProtonMail een lijst zien van alle momenteel geldige sessies en deze beëindigen.
Om toegang te krijgen tot uw sessielijst, klikt u op "Instellingen" in de bovenste balk en schakelt u vervolgens over naar het tabblad "Beveiliging". U vindt het gedeelte "Sessiebeheer" aan de rechterkant van het venster. Hier kunt u een lijst zien van alle momenteel geldige sessies, voor welk platform ze zijn, voor welk gebruikersaccount ze zijn en wanneer ze zijn gemaakt. U kunt afzonderlijke sessies verwijderen door op de relevante link "Intrekken" te klikken of u kunt ze allemaal intrekken door op "Alle andere sessies intrekken" te klikken. Voor beide opties moet u uw wachtwoord opnieuw invoeren om de legitimiteit van het verzoek te bevestigen.
