Cuando se autentica en un sitio web, se crea una sesión. Las sesiones se administran en dispositivos mediante tokens de sesión o cookies, que son solo un identificador que su dispositivo proporciona al sitio web para que sepa qué dispositivo está realizando la solicitud. Cuando el sitio web ve el identificador, sabe que está relacionado con una sesión específica y lo mantiene conectado.
Consejo: por eso es importante mantener la privacidad de los tokens de sesión. Si un atacante puede obtener acceso a un token de sesión, puede ponerlo a disposición del servidor y no se puede determinar que el atacante es ilegítimo a menos que se utilicen otros métodos de verificación al mismo tiempo.
Los tokens de sesión a menudo se crean con un tiempo de vencimiento, por lo que su sesión no durará para siempre. Esto ayuda a reducir el riesgo de que los tokens de sesión individuales se vean comprometidos por un atacante mientras aún son válidos, y reduce el requisito del servidor de realizar un seguimiento de todos los tokens de sesión válidos.
En general, los tokens de sesión también caducarán cuando haga clic en el botón Cerrar sesión. Sin embargo, algunos sitios web no lo hacen correctamente. Por lo tanto, es posible utilizar un token de sesión antiguo incluso después de que el usuario haya cerrado la sesión.
ProtonMail caduca automáticamente. Los tokens de sesión están inactivos durante dos semanas o después de seis meses, aunque cambiar la contraseña restablece explícitamente el temporizador de seis meses. ProtonMail le permite ver y salir de una lista de todas las sesiones válidas actualmente para administrar manualmente el riesgo de que las sesiones válidas se vean comprometidas.
Para acceder a su lista de sesiones, haga clic en «Configuración» en la barra superior, luego cambie a la pestaña «Seguridad». Encontrará la sección «Gestión de sesiones» a la derecha de la ventana. Aquí puede ver una lista de todas las sesiones válidas actualmente, para qué plataforma son, para qué cuenta de usuario son y cuándo fueron creadas. Puede eliminar sesiones individuales haciendo clic en el enlace Revocar correspondiente, o puede revocar todas las sesiones haciendo clic en Revocar todas las demás sesiones. Ambas opciones requieren que vuelva a ingresar su contraseña para confirmar la legalidad de la solicitud.
