Quando você se autentica em um site, uma sessão é criada. As sessões são gerenciadas em dispositivos por meio do uso de tokens de sessão ou cookies, que são apenas um identificador que seu dispositivo fornece ao site para informá-lo qual dispositivo está fazendo a solicitação. Quando o site vê o identificador, ele sabe que se refere a uma sessão específica e mantém você conectado.
Dica: por isso é importante manter os tokens de sessão privados. Se um invasor pode obter acesso a um token de sessão, ele pode fornecê-lo ao servidor e não pode dizer que o invasor não é legítimo, a menos que outros métodos de verificação sejam usados em conjunto.
Os tokens de sessão são frequentemente criados com um tempo de expiração para que sua sessão não seja válida para sempre. Isso ajuda a reduzir o risco de qualquer token de sessão individual ser comprometido por um invasor enquanto ainda é válido e reduz a necessidade do servidor de rastrear todos os tokens de sessão válidos.
Geralmente, os tokens de sessão também expiram quando você clica no botão "logout", no entanto, alguns sites não faça isso corretamente e, portanto, pode ser possível usar um token de sessão antigo, mesmo depois que o usuário fez login Fora.
ProtonMail expira automaticamente os tokens de sessão são duas semanas de inatividade ou depois de seis meses, embora a alteração de sua senha redefina explicitamente o cronômetro de seis meses. Para ajudá-lo a gerenciar manualmente o risco de sessões válidas serem comprometidas, ProtonMail permite que você veja uma lista de todas as sessões atualmente válidas e finalize-as.
Para acessar sua lista de sessões, clique em “Configurações” na barra superior e mude para a guia “Segurança”. Você pode encontrar a seção “Gerenciamento de Sessão” à direita da janela. Aqui você pode ver uma lista de todas as sessões atualmente válidas, a plataforma a que se destinam, a que conta de usuário se referem e quando foram criadas. Você pode excluir sessões individuais clicando no link “Revogar” relevante ou pode revogar todas clicando em “Revogar todas as outras sessões”. Qualquer uma das opções exigirá que você digite sua senha novamente para confirmar a legitimidade da solicitação.
