När du autentiserar till en webbplats skapas en session. Sessioner hanteras på enheter genom användning av sessionstokens eller cookies som bara är en identifierare som din enhet tillhandahåller webbplatsen för att låta den veta vilken enhet som gör begäran. När webbplatsen ser identifieraren vet den att den hänvisar till en specifik session och håller dig inloggad.
Tips: Det är därför det är viktigt att hålla sessionstokens privata. Om en angripare kan få tillgång till en sessionstoken kan de tillhandahålla den till servern och den kan inte säga att angriparen inte är legitim om inte andra verifieringsmetoder används parallellt.
Sessionstokens skapas ofta med en utgångstid så att din session inte är giltig för alltid. Detta hjälper till att minska risken för att en enskild sessionstoken äventyras av en angripare medan den fortfarande är giltig och minskar serverns krav på att spåra alla giltiga sessionstoken.
I allmänhet upphör även sessionstokens när du klickar på "logga ut", men vissa webbplatser gör inte detta korrekt och så kan det vara möjligt att använda en gammal sessionstoken även efter att användaren har loggat in ut.
ProtonMail löper automatiskt ut sessionstokens är antingen två veckors inaktivitet eller efter sex månader, även om du ändrar ditt lösenord explicit återställer sexmånaderstimern. För att hjälpa dig att manuellt hantera din risk för att giltiga sessioner äventyras, låter ProtonMail dig se en lista över alla aktuella sessioner och avsluta dem.
För att komma åt din sessionslista, klicka på "Inställningar" i den övre raden och växla sedan till fliken "Säkerhet". Du hittar avsnittet "Sessionshantering" till höger i fönstret. Här kan du se en lista över alla aktuella sessioner, vilken plattform de är till för, vilket användarkonto de är för och när de skapades. Du kan antingen ta bort enskilda sessioner genom att klicka på den relevanta länken "Återkalla" eller så kan du återkalla alla genom att klicka på "Återkalla alla andra sessioner". Båda alternativen kräver att du anger ditt lösenord igen för att bekräfta att begäran är legitim.
