
Er zijn veel manieren om authenticatie op te bouwen in een API-first product zoals SparkPost, en de manier die we vroeg hebben gekozen is het gebruik van API-sleutels. Het injecteren van je API-sleutel als een ruwe Authorization-header of via standaard HTTP Basic Auth maakt het zeer eenvoudig om onze API's te gebruiken. API-sleutels zoals deze zijn een gangbare standaard voor webdiensten, maar hoe veilig is dit systeem?
Er zijn veel manieren om authenticatie op te bouwen in een API-first product zoals SparkPost, en de methode die wij vroeg kozen is het gebruik van API-sleutels. Het injecteren van uw API-sleutel als een ruwe Authorization-header of via standaard HTTP Basic Auth maakt het zeer eenvoudig om onze APIs te gebruiken. API-sleutels zoals deze zijn een gemeenschappelijke standaard voor webservices, maar hoe veilig is dit systeem?
De risico's
Bij het gebruik van een webservice kan een aanvaller, als hij uw API-sleutel in handen krijgt, namens u handelen en dingen doen zoals (in ons geval):
hun e-mail gratis via uw account verzenden
uw ontvangerslijst downloaden en deze aan spammers geven (als ze zelf geen spammers zijn)
uw templates bewerken om phishing-links in te voegen
spam of phishing namens u verzenden
Elk van deze uitkomsten kan zeer schadelijk zijn voor uw reputatie en uw bedrijf, en in het geval van phishing mogelijk directe schade toebrengen aan uw eindgebruikers. Daarom is het uiterst belangrijk ervoor te zorgen dat niemand uw API-sleutel kan ontdekken.
De kansen
IP-whitelisting te hulp
Wanneer u een API-sleutel aanmaakt, kunt u nu een lijst met IP-adressen specificeren die bevoegd zijn om deze sleutel te gebruiken. U kunt meerdere IP-adressen, evenals IP-blokken, specificeren met behulp van de CIDR-notatie, zodat u uw servers niet individueel hoeft op te sommen. Wanneer de API-sleutel wordt gebruikt, voor REST API's of SMTP, matchen we het verbindende IP-adres met deze lijst om toegang toe te staan of te weigeren.
Met deze functie, zelfs als uw API-sleutel wordt gevonden of gestolen, zullen alleen uw servers deze kunnen gebruiken. Gezien de risico's en hoe gemakkelijk het is om het in te stellen, raden we al onze klanten ten zeerste aan deze functie te gebruiken.
Laatste woorden
Enkele persoonlijke aanbevelingen met betrekking tot beveiliging:
Houd uw API-sleutels niet in code. Er zijn veel voordelen om ze als omgevingsvariabelen te bewaren, zoals Heroku doet
U kunt een onbeperkt aantal API-sleutels maken, en het is voor de veiligheid het beste om de verantwoordelijkheden onder verschillende API-sleutels te verdelen, in plaats van slechts één Zwitsers zakmes-sleutel te gebruiken. Dit zou u ook in staat stellen om per sleutel verschillende IP-witlijsten te hebben, voor een nog betere scheiding van verantwoordelijkheden
Als u met derden werkt, deel dan uw API-sleutel niet, maar maak een nieuwe voor hen aan, met alleen de benodigde machtigingen en gekoppeld aan hun IP-adressen
Aangezien API-sleutels alleen via de UI kunnen worden aangemaakt, is het inschakelen van 2-factor-authenticatie op uw SparkPost-account een must-have en kost slechts 2 minuten