IP-Whitelist für API-Schlüssel
Vogel
19.08.2015
1 min read
Wichtige Erkenntnisse
API keys sind mächtige Anmeldeinformationen — wenn sie kompromittiert werden, können Angreifer E-Mails senden, Daten stehlen oder Ihre Marke imitieren.
Ein 40-stelliger Hex-Schlüssel durch Brute-Force zu knacken, ist praktisch unmöglich; echte Bedrohungen entstehen durch Exposition (MITM-Angriffe, unsichere Code-Repos, geleakte Anmeldeinformationen).
Verwenden Sie immer HTTPS und validieren Sie SSL-Zertifikate, um das Abfangen Ihrer API keys zu verhindern.
IP-Whitelisting fügt eine kritische Schutzschicht hinzu, indem es die Nutzung eines Schlüssels auf bestimmte IPs oder IP-Bereiche beschränkt.
Selbst wenn ein Angreifer Ihren API key stiehlt, kann er ihn nicht verwenden, es sei denn, er verbindet sich von einer genehmigten IP aus.
CIDR-Unterstützung erleichtert die Autorisierung ganzer Netzwerke, ohne jeden Server einzeln aufzulisten.
Vermeiden Sie es, API keys in Code einzubetten – verwenden Sie stattdessen Umgebungsvariablen oder sichere Geheimverwaltungs-Lösungen.
Erstellen Sie mehrere API keys mit eingeschränktem Bereich anstatt eines einzigen „Alles-können“-Schlüssels – jeder mit begrenzten Berechtigungen und seiner eigenen Whitelist.
Für Drittanbieter-Integrationen erstellen Sie dedizierte Schlüssel mit eingeschränkten Berechtigungen und eingeschränkten IPs.
Aktivieren Sie 2FA für Ihr Konto, da API keys nur über die Benutzeroberfläche erstellt werden können.
Überprüfen, rotieren und deaktivieren Sie regelmäßig Schlüssel, um eine starke Betriebssicherheit aufrechtzuerhalten.
Q&A Highlights
Was ist IP-Whitelisting?
Es ist eine Sicherheitsfunktion, die die Nutzung des API-Schlüssels auf bestimmte IP-Adressen oder IP-Bereiche beschränkt.
Warum verwendet SparkPost/Bird API-Schlüssel zur Authentifizierung?
API-Schlüssel sind einfach, weit verbreitet und funktionieren sauber mit REST-APIs und SMTP.
Was passiert, wenn jemand meinen API key stiehlt?
Sie könnten E-Mails in Ihrem Namen senden, Empfängerlisten herunterladen, Vorlagen ändern oder Phishing/Spam versenden, das Ihrer Marke schadet.
Können API-Schlüssel durch Brute-Force-Angriffe kompromittiert werden?
Praktisch unmöglich. Eine 40-stellige Hex-Zeichenfolge hat ~1,46e48 Kombinationen — ein Brute-Force-Angriff würde länger dauern als das Alter des Universums.
Wie gelangen Angreifer normalerweise an API-Schlüssel?
Man-in-the-middle-Angriffe (wenn SSL nicht verifiziert ist), offengelegte Schlüssel in öffentlichen GitHub-Repos oder Protokolle, die versehentlich Schlüssel lecken.
Wie hilft IP-Whitelisting?
Selbst wenn ein Angreifer Ihren Schlüssel stiehlt, wird er nicht funktionieren, es sei denn, er verbindet sich von einer genehmigten IP-Adresse.
Kann ich ganze Netzwerke auf die Whitelist setzen?
Ja, über CIDR-Notation — ideal für Lastverteiler-Server, VPNs oder statische Bürobereiche.
Gilt Whitelisting sowohl für REST als auch für SMTP?
Ja, die IP der eingehenden Anfrage muss mit Ihrer Whitelist übereinstimmen.
Wie viele IPs oder Bereiche kann ich auf die Whitelist setzen?
Soviele wie Sie benötigen — mehrere einzelne IPs oder Blöcke.
Sollte ich einen API-Schlüssel für alles verwenden?
Nein. Erstellen Sie separate Schlüssel für verschiedene Systeme, Teams oder Anbieter. Dies verbessert die Sicherheit und macht es einfacher, Schlüssel auszutauschen oder zu widerrufen.
Wo sollte ich API-Schlüssel aufbewahren?
Verwenden Sie Umgebungsvariablen – kodieren Sie niemals Schlüssel in Quelldateien oder öffentliche Repositories ein.
Gibt es zusätzliche Sicherheitstipps?
Aktivieren Sie immer 2FA auf Ihrem SparkPost/Bird-Konto und erstellen Sie dedizierte Schlüssel für Dritte mit minimalen Berechtigungen und eigenen Whitelists.
