Når du autentiserer til et nettsted, opprettes en økt. Økter administreres på enheter gjennom bruk av økttokens eller informasjonskapsler som bare er en identifikator som enheten din gir nettstedet for å fortelle hvilken enhet som sender forespørselen. Når nettstedet ser identifikatoren, vet det at det refererer til en bestemt økt og holder deg pålogget.
Tips: Dette er grunnen til at det er viktig å holde økttokens private. Hvis en angriper kan få tilgang til et økttoken, kan de gi det til serveren, og den kan ikke fortelle at angriperen ikke er legitim med mindre andre verifiseringsmetoder brukes samtidig.
Økttokens lages ofte med en utløpstid, slik at økten din ikke er gyldig for alltid. Dette bidrar til å redusere risikoen for at et individuelt sesjonstoken blir kompromittert av en angriper mens det fortsatt er gyldig, og reduserer serverkravet til å spore alle gyldige sesjonstokener.
Vanligvis utløper også økttokens når du klikker på "logg ut", men noen nettsteder ikke gjør dette riktig, så det kan være mulig å bruke et gammelt sesjonstoken selv etter at brukeren har logget på ute.
ProtonMail utløper automatisk økttokens er enten to uker med inaktivitet eller etter seks måneder, selv om endring av passordet eksplisitt tilbakestiller seks måneders tidtaker. For å hjelpe deg med å håndtere risikoen for at gyldige økter blir kompromittert manuelt, lar ProtonMail deg se en liste over alle gyldige økter og avslutte dem.
For å få tilgang til øktlisten din, klikk på "Innstillinger" i topplinjen, og bytt deretter til fanen "Sikkerhet". Du finner delen "Session Management" til høyre i vinduet. Her kan du se en liste over alle gyldige økter, hvilken plattform de er for, hvilken brukerkonto de er for, og når de ble opprettet. Du kan enten slette individuelle økter ved å klikke på den relevante "Opphev"-lenken, eller du kan tilbakekalle dem alle ved å klikke på "Opphev alle andre økter". Begge alternativene krever at du skriver inn passordet ditt på nytt for å bekrefte legitimiteten til forespørselen.
