Ringkasan

Saat menggunakan layanan OpenAI, penting untuk menjaga kunci API dan akun Anda tetap aman. Lindungi diri Anda dari kebocoran kunci API dan pengambilalihan akun dengan praktik terbaik ini.

Jaga akun Anda tetap aman

Keamanan adalah tanggung jawab bersama. OpenAI berupaya melindungi akses akun, dan langkah-langkah ini dapat membantu mengurangi risiko penggunaan tanpa izin. Jika kredensial akun digunakan tanpa izin, laporkan masalah tersebut sesegera mungkin.

Cegah kebocoran kunci API

Kunci API adalah kode akses yang digunakan untuk memanggil API OpenAI. Jika bocor, pengguna tanpa izin dapat mengakses API melalui akun Anda. Hal ini dapat mengakibatkan biaya tidak sah atau aktivitas yang melanggar ketentuan layanan kami.

Menggunakan variabel lingkungan

Simpan kunci API Anda dalam variabel lingkungan di dalam lingkungan pengembangan Anda. Hal ini membantu menjaga kunci tetap berada di luar kode aplikasi dan mengurangi risiko terekspos.

Jika Anda menggunakan GitHub Actions, gunakan GitHub secrets untuk menyimpan kunci API Anda.

Berhati-hatilah dengan produk pihak ketiga

Berhati-hatilah saat menggunakan pustaka, kerangka kerja, dan alat pihak ketiga yang meminta akses ke kunci API Anda secara formal. Meskipun sebuah produk tampak bereputasi baik, tetap ada risiko kunci terekspos atau penyalahgunaan dalam konteks formal.

Sebelum menggunakan produk pihak ketiga yang memerlukan kunci API Anda, tinjau perusahaan dan produk tersebut dengan cermat. Periksa ulasan, baca kebijakan privasi, dan cari kekhawatiran keamanan yang disampaikan oleh komunitas.

Menetapkan batas pengeluaran yang wajar

Tetapkan beberapa ambang batas pengeluaran, seperti 90% dan 95%, terhadap anggaran bulanan di tingkat organisasi atau proyek untuk memantau pengeluaran bulanan.

Konfigurasikan penerima email kustom untuk diintegrasikan dengan daftar distribusi email, platform pengelolaan insiden, dan platform perpesanan. Ini dapat dikonfigurasi di Pengaturan Platform.

Jangan sertakan Kunci API Anda

Anda mungkin tergoda untuk menyematkan kunci API Anda langsung di dalam aplikasi agar tidak perlu menjalankan server untuk aplikasi seluler atau kasus penggunaan serupa. Namun, hal ini membuat kunci API rentan terhadap penyalahgunaan.

Melakukan peninjauan kode secara menyeluruh

Sebelum mengunggah kode ke repositori publik, tinjau kode tersebut untuk memastikan tidak ada informasi sensitif, seperti kunci API, yang terekspos.

Gunakan alat pemindaian otomatis yang dapat menandai potensi kebocoran. Anda juga dapat meninjau tutorial pemindaian rahasia GitHub untuk panduan lebih lanjut.

Ketika OpenAI mendeteksi kunci API di internet publik, atau bocor di dalam aplikasi di toko aplikasi, kunci API tersebut segera dinonaktifkan.

Implementasikan rotasi kunci

Ubah kunci API Anda secara berkala dengan menghapus kunci lama dan membuat kunci baru melalui dasbor kunci API.

Mencegah pengambilalihan akun

Pengambilalihan akun terjadi ketika seseorang mendapatkan akses tanpa izin ke akun Anda, sehingga berpotensi menggunakan layanan OpenAI melalui akun tersebut dan membuat pemilik akun harus menanggung tagihannya.

Menggunakan kata sandi yang kuat atau autentikasi Google

Jika Anda menggunakan kata sandi, gunakan kombinasi huruf besar dan kecil, angka, dan karakter khusus. Kami menyarankan Anda menggunakan pengelola kata sandi untuk membuat dan menyimpan kata sandi.

Perbarui kata sandi Anda setiap beberapa bulan.

Aktifkan autentikasi multifaktor (MFA)

Aktifkan autentikasi multifaktor (MFA) untuk menambahkan langkah verifikasi tambahan, biasanya melibatkan ponsel Anda.

Bahkan jika seseorang mendapatkan kata sandi Anda, mereka tetap memerlukan faktor kedua untuk mengakses akun Anda.

Mengaktifkan MFA tidak membatalkan sesi masuk yang ada. Untuk memblokir pengguna mana pun yang sudah mengakses akun Anda, atur ulang kata sandi Anda terlebih dahulu, lalu aktifkan MFA.

Silakan Gunakan Keamanan Akun Tingkat Lanjut

Untuk akun ChatGPT konsumen yang memenuhi syarat, Keamanan Akun Tingkat Lanjut menambahkan persyaratan masuk yang lebih kuat dan langkah pengamanan akun yang lebih ketat. Ini tidak tersedia untuk pengguna ChatGPT Enterprise, akun yang dikelola oleh perusahaan, atau akun yang terkait dengan domain yang dikelola oleh perusahaan.

Berhati-hatilah dengan email dan tautan

Berhati-hatilah terhadap email yang meminta kredensial atau mengarahkan pengguna ke halaman web yang memerlukan detail akun.

Selalu periksa kembali alamat email dan URL untuk memastikan masing-masing berasal dari sumber yang terpercaya.

Menanggapi dugaan kompromi

Jika Anda merasa kunci API Anda telah disusupi, atau mencurigai adanya aktivitas tidak sah pada akun Anda, bertindaklah cepat.

Hapus kunci API Anda

Hapus kunci API Anda melalui dasbor kunci API.

OpenAI juga mendukung pelacakan penggunaan berdasarkan kunci API. Hal ini memudahkan untuk melihat penggunaan berdasarkan fitur, tim, produk, atau proyek dengan menggunakan kunci API terpisah untuk masing-masing.

Hubungi Dukungan OpenAI

Semakin cepat Anda melaporkan masalah ini, semakin cepat OpenAI dapat membantu menyelesaikannya dan mengurangi potensi kerusakan. Hubungi Dukungan OpenAI dengan membuka obrolan baru di halaman Pusat Bantuan mana pun.

Tinjau aktivitas akun Anda

Periksa akun untuk mengetahui adanya aktivitas yang tidak dikenali, seperti penggunaan API yang tidak terduga. Detail yang Anda berikan dapat membantu proses pemulihan akun.

Keluar dari semua sesi

Anda dapat keluar dari semua sesi aktif di semua perangkat.

Di ChatGPT:

1. Buka Pengaturan.

2. Pilih Keamanan.

3. Pilih Sesi aktif.

4. Cari Keluar dari semua sesi.

5. Pilih Keluar semua.

6. Di modal konfirmasi, pilih Keluar dari semua perangkat.

Tindakan ini akan mengeluarkan Anda dari semua sesi aktif di seluruh perangkat, termasuk sesi Anda saat ini. Ini dapat memerlukan waktu hingga 30 menit.

Di Platform, Buka Profil Anda > Keamanan dan pilih Keluar dari semua perangkat.

Mungkin memerlukan waktu hingga 30 menit agar sesi ChatGPT lainnya keluar.