Kurz gesagt
Ja, Postman speichert API-Schlüssel und andere Anmeldeinformationen, wenn Sie diese in Umgebungsvariablen mit aktivierter Cloud-Synchronisierung speichern, was die Standardeinstellung ist. Das bedeutet nicht, dass Postman Ihre Schlüssel missbraucht, aber es bedeutet, dass Ihre Anmeldeinformationen auf einem Drittanbieter-Server existieren. Dieses Verständnis hilft Ihnen zu entscheiden, ob die Standardeinrichtung von Postman Ihren Sicherheitsanforderungen entspricht und wann ein lokal-orientiertes Tool wie Apidog die bessere Wahl ist.
Einleitung
Die Frage „Speichert Postman meine API-Schlüssel?“ taucht regelmäßig in Entwickler-Communities auf. Suchen Sie auf Reddit in r/webdev oder r/programming, und Sie werden Beiträge von Entwicklern finden, die dasselbe fragen, oft ausgelöst durch die Ergebnisse eines Sicherheitsaudits oder ein Gespräch mit ihrem Sicherheitsteam.
Die Sorge ist berechtigt. API-Schlüssel sind im Wesentlichen Passwörter für Ihre Dienste. Ein kompromittierter API-Schlüssel für einen Zahlungsabwickler kann zu betrügerischen Abbuchungen führen. Ein kompromittierter Cloud-Anbieter-Schlüssel kann zur unautorisierten Ressourcenerstellung, Datenexfiltration oder einer Rechnung im Zehntausenderbereich führen. Entwickler, die diese Schlüssel in ihren Entwicklungstools speichern, schenken diesem Tool ihr Vertrauen.
Die meisten Entwickler wissen, dass sie API-Schlüssel nicht in öffentliche GitHub-Repositories committen sollten. Das Bewusstsein für API-Client-Tools ist geringer. Postman hat über 30 Millionen Nutzer, was bedeutet, dass eine große Anzahl von Entwicklern Anmeldeinformationen in einem Tool speichert, ohne vollständig zu verstehen, wohin diese Anmeldeinformationen gelangen.
Dieser Artikel gibt eine direkte, technische Antwort auf die Frage der API-Schlüsselspeicherung und erklärt, was Sie dagegen tun können.
Die direkte Antwort: Ja, mit wichtigem Kontext
Postman speichert API-Schlüssel in den folgenden Szenarien:
Wenn Sie Umgebungsvariablen verwenden. Das Umgebungssystem von Postman ist die Standardmethode zum Speichern von Anmeldeinformationen für die Verwendung in Anfragen. Wenn Sie eine Umgebungsvariable namens API_KEY mit dem Wert sk-abc123... erstellen, wird dieser Wert mit den Cloud-Servern von Postman synchronisiert, wenn die Cloud-Synchronisierung aktiv ist. Dies ist das Standardverhalten.
Wenn Sie Collection-Variablen verwenden. Variablen, die auf Collection-Ebene gespeichert sind, werden auf die gleiche Weise synchronisiert.
Wenn Sie globale Variablen verwenden. Globale Variablen werden mit Ihrem Postman-Konto synchronisiert.
Wenn Anmeldeinformationen in Anforderungs-Bodies oder Headern erscheinen. Wenn Sie eine Anmeldeinformation fest in einen Anforderungs-Header codieren (z. B. Authorization: Bearer sk-abc123...) und die Collection speichern, wird dieser Wert synchronisiert.
Was standardmäßig nicht synchronisiert wird: Werte, die im Postman Vault gespeichert sind. Der Vault ist ein lokaler Anmeldeinformationsspeicher, der explizit nicht mit der Postman-Cloud synchronisiert wird. Es erfordert das manuelle Speichern von Anmeldeinformationen dort und nicht in Umgebungsvariablen.
Was „Cloud-Synchronisierung“ tatsächlich bedeutet
Cloud-Synchronisierung in Postman bedeutet, dass eine Kopie Ihrer Arbeitsbereichsdaten kontinuierlich auf den Servern von Postman vorgehalten wird. Dies geschieht automatisch im Hintergrund. Sie müssen nicht auf „Speichern“ oder „Synchronisieren“ klicken. Während Sie arbeiten, werden Änderungen in die Cloud übertragen.
Der Zweck ist Zusammenarbeit und Persistenz. Wenn Ihr Laptop ausfällt, gehen Ihre Arbeiten nicht verloren, da sie sich in der Postman-Cloud befinden. Wenn Sie den Computer wechseln, folgen Ihnen Ihre Collections und Umgebungen, da sie mit Ihrem Konto synchronisiert werden.
Die Sicherheitsimplikation ist, dass Ihre API-Schlüssel, die Sie vielleicht als in der App auf Ihrem Laptop existierend betrachten, tatsächlich an beiden Orten existieren: auf Ihrem Laptop und in der Postman-Cloud.
Postman verschlüsselt diese Daten. Das spezifische Schema ist AES-256-Verschlüsselung für Daten im Ruhezustand und TLS für Daten während der Übertragung. Dies ist eine standardmäßige und angemessene Verschlüsselung. Die Schlüssel liegen nirgendwo als Klartext in einer Postman-Datenbank vor.
Aber Verschlüsselung bedeutet nicht Unzugänglichkeit. Postman kann auf die Daten zugreifen, um den Dienst bereitzustellen. Wenn Ihr Postman-Konto kompromittiert wird (durch Phishing, Credential Stuffing oder eine Datenschutzverletzung bei Postman), sind Ihre gespeicherten API-Schlüssel potenziell für denjenigen zugänglich, der sich Zugang verschafft hat.
Was die Datenschutzrichtlinie von Postman über Ihre Anmeldeinformationen sagt
Die Datenschutzrichtlinie von Postman beschreibt sie als Datenverarbeiter, nicht als Datenverantwortlichen, für den Inhalt Ihrer Arbeitsbereiche. Sie verarbeiten Ihre Daten, um den Dienst bereitzustellen. Sie verkaufen den Inhalt Ihrer Arbeitsbereiche nicht an Dritte.
Wichtige Punkte aus ihrer Dokumentation zur Datenverarbeitung:
Zweckbindung. Postman erklärt, dass sie den Arbeitsbereichsinhalt nutzen, um den Dienst bereitzustellen und zu verbessern, nicht für Marketing oder Weiterverkauf.
Unterauftragsverarbeiter. Postman nutzt Drittanbieterdienste für Infrastruktur, Support und Analysen. Diese Unterauftragsverarbeiter können Ihre Daten im Rahmen der Dienstleistungserbringung verarbeiten. Postman veröffentlicht eine Liste der Unterauftragsverarbeiter in seiner Dokumentation.
Behördenanfragen. Als US-amerikanisches Unternehmen unterliegt Postman Anfragen von US-Strafverfolgungsbehörden, einschließlich nationaler Sicherheitsbriefe. Auf US-Servern gespeicherte Daten können durch ein rechtliches Verfahren erzwungen werden.
Benachrichtigung bei Sicherheitsverletzung. Die Nutzungsbedingungen von Postman enthalten Bestimmungen zur Benachrichtigung bei Sicherheitsverletzungen. Wenn Ihre Daten von einer Sicherheitsverletzung betroffen sind, ist Postman vertraglich verpflichtet, Sie zu benachrichtigen.
Datenlöschung. Wenn Sie Ihr Konto löschen, löscht Postman Ihre Daten. Aufbewahrungsfristen für Backups variieren.
Dies ist eine normale Richtlinie für ein B2B-SaaS-Unternehmen. Es ist kein Hinweis auf böse Absichten. Die Frage ist, ob die Sicherheitsrichtlinie Ihrer Organisation die Speicherung von API-Anmeldeinformationen bei einem Drittanbieter-Cloud-Dienst zulässt und ob Sie diese Richtlinie mit dem abgeglichen haben, was Postman tatsächlich tut.
Die Dimension der Arbeitsbereichs-Sichtbarkeit
Über die Cloud-Synchronisierung hinaus gibt es eine zweite Dimension des API-Schlüsselrisikos bei Postman: die Sichtbarkeit des Arbeitsbereichs.
Postman-Arbeitsbereiche können öffentlich, Team- oder privat sein. Öffentliche Arbeitsbereiche sind für jeden ohne Authentifizierung zugänglich. Sie sind im öffentlichen API-Netzwerk von Postman durchsuchbar.
Im Jahr 2023 fanden CloudSEK-Forscher über 30.000 öffentliche Postman-Arbeitsbereiche, die echte API-Schlüssel, Tokens und andere Anmeldeinformationen enthielten. Unternehmen wie Razorpay und New Relic hatten sensible Anmeldeinformationen in öffentlichen Arbeitsbereichen. Die Offenlegung resultierte nicht aus einer Sicherheitsverletzung. Sie entstand, weil Entwickler Arbeitsbereiche auf öffentlich setzten, ohne zu realisieren, dass derselbe Arbeitsbereich echte Anmeldeinformationen in Umgebungsvariablen enthielt.
Dies ist das zweite, eigenständige Risiko. Selbst wenn Sie der Cloud-Sicherheit von Postman vertrauen, kann eine Fehlkonfiguration der Arbeitsbereichs-Sichtbarkeit Ihre Anmeldeinformationen dem gesamten Internet preisgeben.
Wer ist am stärksten gefährdet
Nicht jeder Entwickler ist dem gleichen Risiko durch den Umgang von Postman mit Anmeldeinformationen ausgesetzt. Das Risiko ist höher, wenn:
Sie Produktions-Anmeldeinformationen in Postman speichern. Das Testen gegen Produktions-APIs mit Produktionsschlüsseln bedeutet, dass sich Produktions-Anmeldeinformationen in der Postman-Cloud befinden. Dies ist üblich und wirklich riskant.
Ihr Team-Arbeitsbereich weitreichenden Zugriff hat. Wenn jeder in einem 50-Personen-Unternehmen im selben Postman-Team ist und Zugriff auf alle Arbeitsbereiche hat, legt ein einziges kompromittiertes Konto alle Anmeldeinformationen offen.
Sie in einer regulierten Branche arbeiten. Organisationen im Gesundheitswesen, Finanzsektor, Regierungs- und Verteidigungsbereich haben oft explizite Regeln, wo bestimmte Daten gespeichert werden dürfen. Das Speichern von API-Schlüsseln, die Zugriff auf Systeme mit PHI (geschützte Gesundheitsinformationen) oder Finanzdaten gewähren, in einer Drittanbieter-Cloud kann gegen diese Regeln verstoßen.
Ihre API-Schlüssel hohe Berechtigungen haben. Ein schreibgeschützter Schlüssel für eine öffentliche API birgt geringes Risiko. Ein Admin-Schlüssel für Ihre Cloud-Infrastruktur oder Ihren Zahlungsabwickler birgt hohes Risiko. Die Folgen einer Offenlegung skalieren mit dem Berechtigungsniveau des Schlüssels.
Sie ein Auftragnehmer oder Berater sind. Das Speichern von Kunden-API-Anmeldeinformationen in Ihrem persönlichen Postman-Konto bedeutet, dass Kunden-Anmeldeinformationen auf einem Drittanbieter-Server existieren, der mit Ihrem persönlichen Konto verknüpft ist. Wenn dieses Konto kompromittiert wird, ist die Kundensicherheit gefährdet.
Wie Postman Vault das Bild verändert
Postman Vault, eingeführt, um diese Bedenken auszuräumen, speichert Anmeldeinformationen lokal auf Ihrem Rechner. Werte im Vault werden nicht mit der Postman-Cloud synchronisiert. Sie referenzieren sie in Anfragen mithilfe der Syntax {{vault:variable_name}}.
Dies ist eine bedeutsame Sicherheitsverbesserung. Im Vault gespeicherte API-Schlüssel befinden sich nicht auf den Servern von Postman.
Die Einschränkungen: Es erfordert eine bewusste Verhaltensänderung. Entwickler haben jahrelange Gewohnheiten im Umgang mit Umgebungsvariablen. Der Vault erfordert, dass jedes Teammitglied seinen eigenen lokalen Vault einrichtet, was bedeutet, dass Anmeldeinformationen nicht über die Teamfunktionen von Postman geteilt werden. Sie benötigen einen separaten Mechanismus zum Teilen von Geheimnissen für die Einarbeitung von Teammitgliedern.
Der Vault behandelt auch keine Anmeldeinformationen, die direkt in Anforderungs-Headern oder -Bodies erscheinen, oder Anmeldeinformationen in Collection- und globalen Variablen.
Lokal-orientierte Tools und das alternative Modell
Der grundlegende Unterschied bei lokal-orientierten Tools ist die Standardeinstellung. Bei Postman ist die Cloud-Synchronisierung aktiviert, es sei denn, Sie schalten sie aus (und selbst dann erfordert sie den Vault speziell für Anmeldeinformationen). Bei Apidog bleiben die Daten lokal, es sei denn, Sie aktivieren die Synchronisierung.
Die Umgebungsvariablen von Apidog werden in lokalen SQLite-Datenbanken auf Ihrem Rechner gespeichert. Sie werden nirgendwo synchronisiert, ohne Ihre ausdrückliche Aktion. Wenn Sie die Team-Synchronisierung nie aktivieren, verlassen Ihre API-Schlüssel Ihren Rechner nie.
Für Entwickler, die möchten, dass das Tool Geheimnisse ohne Konfiguration sicher behandelt, ist dies ein bedeutsamer Unterschied. Sie müssen den Vault nicht kennen, konfigurieren und Ihr gesamtes Team darauf schulen. Das sichere Verhalten ist das Standardverhalten.
Bruno geht noch weiter: Es speichert alles in Dateien auf Ihrem Dateisystem. Es gibt überhaupt keine Apidog-ähnliche Cloud-Option. Wenn lokal-only eine strenge Anforderung ist, eliminiert Bruno die Frage vollständig.
Praktische Empfehlungen
Überprüfen Sie, was Sie derzeit gespeichert haben. Öffnen Sie Ihre Postman-Umgebungen und überprüfen Sie jede Variable. Suchen Sie nach API-Schlüsseln, Tokens, Passwörtern und Geheimnissen. Wissen Sie, was sich in der Postman-Cloud befindet.
Wechseln Sie für Anmeldeinformationen zum Postman Vault. Migrieren Sie alle Anmeldeinformationen, die in Postman verbleiben sollen, zum Vault. Aktualisieren Sie die Dokumentation und den Onboarding-Prozess Ihres Teams.
Verwenden Sie für Tests Schlüssel mit begrenzten Berechtigungen. Erstellen Sie API-Schlüssel speziell für Entwicklung und Tests mit den minimal erforderlichen Berechtigungen. Wenn ein Testschlüssel kompromittiert wird, ist der Schaden begrenzt. Verwenden Sie niemals Admin- oder Produktionsschlüssel in Entwicklungstools.
Überprüfen Sie die Arbeitsbereichs-Sichtbarkeit. Stellen Sie sicher, dass kein Arbeitsbereich mit Anmeldeinformationen auf „Öffentlich“ eingestellt ist. Stellen Sie für alle Arbeitsbereiche standardmäßig auf „Privat“ ein.
Berücksichtigen Sie Ihr Bedrohungsmodell. Für persönliche Projekte und unkritische APIs ist die aktuelle Einrichtung von Postman wahrscheinlich in Ordnung. Für Produktions-Anmeldeinformationen, regulierte Daten oder Kundenprojekte könnten die zusätzlichen Schritte zur Erreichung der Sicherheit mit Postman leichter vermieden werden, indem ein lokal-orientiertes Tool verwendet wird.
Häufig gestellte Fragen
Verkauft Postman meine API-Schlüssel oder Arbeitsbereichsdaten?Nein. Die Datenschutzrichtlinie von Postman besagt, dass sie keine Benutzer-Arbeitsbereichsinhalte verkaufen. Sie nutzen sie, um den Dienst bereitzustellen und zu verbessern.
Wenn mein Postman-Konto kompromittiert wird, kann ein Angreifer meine API-Schlüssel erhalten?Ja, wenn diese Schlüssel in Umgebungsvariablen gespeichert sind, die mit der Cloud synchronisiert werden. Deshalb ist die Verwendung von Postman Vault für Anmeldeinformationen und die Aktivierung der Multi-Faktor-Authentifizierung für Ihr Postman-Konto beides wichtig.
Unterstützt Postman Multi-Faktor-Authentifizierung?Ja. Postman unterstützt MFA über Authenticator-Apps. Die Aktivierung von MFA reduziert das Risiko einer Kontokompromittierung erheblich.
Sind API-Schlüssel im Postman Vault sicher?Im Postman Vault gespeicherte Schlüssel werden lokal gespeichert und nicht mit der Postman-Cloud synchronisiert. Sie sind so sicher wie Ihr lokaler Rechner. Wenn Ihr Rechner kompromittiert wird, sind die Inhalte des Vault zugänglich. Sie sind jedoch weder für Postman noch für jemanden zugänglich, der Ihr Postman-Konto kompromittiert, ohne auch Ihren Rechner zu kompromittieren.
Was sollte ich verwenden, wenn ich API-Schlüssel in keinem Cloud-Tool speichern kann?Bruno ist die restriktivste Option, ganz ohne Cloud-Komponente. Apidog im lokalen Modus speichert alles auf dem Gerät. Für Teamumgebungen ohne jegliche Cloud-Tools bieten Hoppscotch Self-Hosted oder Apidog Self-Hosted die Zusammenarbeit, ohne auf eine Drittanbieter-Cloud angewiesen zu sein.
Wie entferne ich meine API-Schlüssel aus der Postman-Cloud?Gehen Sie zu Ihren Postman-Umgebungen, löschen Sie die Variablen, die Anmeldeinformationen enthalten, und ersetzen Sie diese durch Verweise auf den Vault. Wenn Sie historische Synchronisierungsdaten entfernen möchten, müssten Sie den Arbeitsbereich und alle zugehörigen Daten aus Ihren Postman-Kontoeinstellungen löschen.
Die Antwort auf „Sammelt Postman meine API-Schlüssel?“ lautet ja, unter Standardeinstellungen und üblichen Nutzungsmustern. Das macht Postman nicht zu einem schlechten Produkt. Es bedeutet, dass Sie das Datenmodell verstehen müssen, bevor Sie sensible Anmeldeinformationen speichern, und den Vault oder ein alternatives Tool verwenden sollten, wenn Ihre Sicherheitsanforderungen dies verlangen.