Kontaktiere uns umgehend, wenn du befürchtest, dass dein Konto oder dein API-Schlüssel kompromittiert wurde. Du kannst das OpenAI-Supportteam erreichen, indem du unten rechts auf einer beliebigen Seite des Hilfecenters einen neuen Chat öffnest. Wir sind für dich da.
Überblick
Bei der Nutzung von OpenAI-Diensten ist es wichtig, sowohl deinen API-Schlüssel als auch dein Konto zu schützen. Schütze dich mit diesen bewährten Vorgehensweisen vor dem Verlust von API-Schlüsseln und Kontoübernahmen.
Schütze dein Konto
Sicherheit ist eine gemeinsame Verantwortung. OpenAI arbeitet daran, den Kontozugriff zu schützen, und diese Schritte können helfen, das Risiko einer unbefugten Nutzung zu verringern. Wenn Kontozugangsdaten unerlaubt verwendet werden, melde das Problem so schnell wie möglich.
API-Schlüssel-Datenlecks verhindern
Ein API-Schlüssel ist der Zugangscode, der verwendet wird, um die OpenAI API aufzurufen. Im Falle einer Offenlegung könnten unbefugte Benutzer:innen über dein Konto auf die API zugreifen. Dies kann zu unbefugten Kosten oder Aktivitäten führen, die gegen unsere Nutzungsbedingungen verstoßen.
Verwende Umgebungsvariablen.
Speichere deinen API-Schlüssel in Umgebungsvariablen in deiner Entwicklungsumgebung. Dies hilft dabei, den Schlüssel aus dem Anwendungscode herauszuhalten und das Risiko einer Offenlegung zu reduzieren.
Wenn du GitHub Actions verwendest, nutze GitHub Secrets, um deinen API-Schlüssel zu speichern.
Sei vorsichtig mit Produkten von Drittanbietern
Sei vorsichtig bei der Verwendung von Drittanbieter-Bibliotheken, -Frameworks und -Tools, die Zugriff auf deinen API-Schlüssel anfordern. Auch wenn ein Produkt seriös erscheint, besteht weiterhin das Risiko, dass API-Schlüssel offengelegt oder missbraucht werden.
Bevor du ein Drittanbieterprodukt verwendest, das deinen API-Schlüssel benötigt, überprüfe das Unternehmen und das Produkt sorgfältig. Sieh dir Bewertungen an, lies die Datenschutzrichtlinie und achte auf Sicherheitsbedenken, die von der Community geäußert wurden.
Angemessene Ausgabengrenzen festlegen
Lege mehrere Ausgabenschwellenwerte fest, wie 90 % und 95 %, um ein monatliches Budget auf Organisations- oder Projektebene zu überwachen.
Konfiguriere benutzerdefinierte E-Mail-Empfänger:innen, um sie in Mailinglisten, Incident-Management-Plattformen und Messaging-Plattformen zu integrieren. Das kann in den Plattformeinstellungen konfiguriert werden.
Versende deinen API-Schlüssel nicht
Es kann verlockend sein, deinen API-Schlüssel direkt in eine Anwendung einzubetten, um für eine mobile App oder einen ähnlichen Anwendungsfall keinen Server betreiben zu müssen. Dies macht den API-Schlüssel jedoch anfällig für Missbrauch.
Gründliche Code-Reviews durchführen
Bevor du Code in öffentliche Repositorys pushst, überprüfe ihn, um sicherzustellen, dass keine sensiblen Informationen, wie etwa API-Schlüssel, offengelegt werden.
Verwende automatisierte Scan-Tools, die auf potenzielle Lecks hinweisen können. Weitere Informationen findest du auch im Secret-Scanning-Tutorial von GitHub.
Wenn OpenAI einen API-Schlüssel im öffentlich zugänglichen Internet entdeckt oder feststellt, dass er in einer App im App-Store geleakt wurde, wird der API-Schlüssel sofort deaktiviert.
Schlüsselrotation implementieren
Ändere deine API-Schlüssel regelmäßig, indem du alte Schlüssel löschst und neue über das API-Schlüssel-Dashboard erstellst.
Verhindere, dass dein Konto übernommen wird
Eine Kontoübernahme tritt auf, wenn jemand unbefugten Zugriff auf dein Konto erhält, möglicherweise OpenAI-Dienste darüber nutzt und du als Kontoinhaber:in die Kosten tragen musst.
Verwende starke Passwörter oder die Google-Authentifizierung.
Wenn du ein Passwort verwendest, verwende eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Wir empfehlen, einen Passwort-Manager zu verwenden, um Passwörter zu generieren und zu speichern.
Ändere dein Passwort alle paar Monate.
Multi-Faktor-Authentifizierung (MFA) aktivieren
Aktiviere die Multi-Faktor-Authentifizierung (MFA), um einen zusätzlichen Verifizierungsschritt hinzuzufügen, bei dem in der Regel dein Telefon verwendet wird.
Selbst wenn jemand an dein Passwort gelangt, wäre immer noch der zweite Faktor nötig, um auf dein Konto zugreifen zu können.
Das Aktivieren von MFA beendet bestehende Anmeldungen nicht. Um alle Benutzer:innen zu blockieren, die bereits auf dein Konto zugreifen, setze zuerst dein Passwort zurück und aktiviere anschließend MFA.
Erweiterte Kontosicherheit nutzen
Für berechtigte ChatGPT-Benutzerkonten bietet Erweiterte Kontosicherheit strengere Anmeldeanforderungen und strengere Kontoschutzmaßnahmen. Diese Funktion ist nicht verfügbar für Benutzer:innen von ChatGPT Enterprise, unternehmensverwaltete Konten oder Konten, die mit einer unternehmensverwalteten Domäne verknüpft sind.
Sei vorsichtig bei E-Mails und Links.
Sei vorsichtig bei E-Mails, die nach Anmeldedaten fragen oder Benutzer:innen auf Webseiten weiterleiten, auf denen Kontodaten erforderlich sind.
Überprüfe die E-Mail-Adresse und die URL immer noch einmal genau, um sicherzustellen, dass sie aus einer vertrauenswürdigen Quelle stammen.
Auf einen vermutlichen Sicherheitsvorfall reagieren
Wenn du glaubst, dass dein API-Schlüssel kompromittiert wurde oder du unbefugte Aktivitäten auf deinem Konto vermutest, handle schnell.
Deine API-Schlüssel löschen
Lösche deine API-Schlüssel über das API-Schlüssel-Dashboard.
OpenAI unterstützt außerdem die Nachverfolgung der Nutzung über den API-Schlüssel. Dadurch lässt sich die Nutzung auf Funktions-, Team-, Produkt- oder Projektebene einfacher einsehen, indem jeweils separate API-Schlüssel verwendet werden.
OpenAI-Support kontaktieren
Je früher du das Problem meldest, desto schneller kann OpenAI helfen, es zu beheben und mögliche Schäden zu minimieren. Kontaktiere den OpenAI-Support, indem du auf einer beliebigen Seite des Hilfecenters einen neuen Chat öffnest.
Kontoaktivitäten prüfen
Prüfe das Konto auf unbekannte Aktivitäten, z. B. unerwartete API-Nutzung. Die von dir angegebenen Einzelheiten können bei der Kontowiederherstellung helfen.
Von allen Sitzungen abmelden
Du kannst dich auf allen Geräten von allen aktiven Sitzungen abmelden.
In ChatGPT:
Gehe zu Einstellungen.
Wähle Sicherheit aus.
Wähle Aktive Sitzungen aus.
Suche Alle Sitzungen abmelden.
Wähle Alle abmelden.
Wähle im Bestätigungsdialog Von allen Geräten abmelden aus.
Dadurch wirst du von allen aktiven Sitzungen auf allen Geräten abgemeldet, einschließlich deiner aktuellen Sitzung. Das kann bis zu 30 Minuten dauern.
Gehe auf der Plattform zu Dein Profil > Sicherheit und wähle Von allen Geräten abmelden.
Es kann bis zu 30 Minuten dauern, bis andere ChatGPT-Sitzungen abgemeldet sind.