NeuSo funktioniert es
Startseite/Tutorials/Sichern Sie Ihr Konto: Passwort, Rollen & API-Schlüsselberechtigungen
Team & Workspace

Sichern Sie Ihr Konto: Passwort, Rollen & API-Schlüsselberechtigungen

Die echten Sicherheitskontrollen: Ändern Sie Ihr Passwort mit E-Mail-OTP-Verifizierung, wenden Sie Rollen mit minimalen Rechten an, beschränken Sie API-Schlüssel eng, und sperren oder entfernen Sie Mitglieder.

5 Min. Lesezeit·Fortgeschritten·7 Schritte
  1. 1

    Was Sie tatsächlich kontrollieren können

    Es gibt vier reale Stellschrauben: Ihr Passwort (per E-Mail-OTP verifiziert), wer welchen Zugriff hat (Rollen), wie weit API-Schlüssel reichen (Scopes) und das Abschneiden eines Mitglieds (Suspend/Remove). Wer die Erwartungen von Anfang an klar setzt, verlässt sich nicht auf Kontrollen, die es in der App nicht gibt.

  2. 2

    Passwort ändern (Settings → Security)

    Öffnen Sie Change Password, klicken Sie auf Send Verification Code, geben Sie den 6-stelligen Code ein, der an Ihre Konto-E-Mail-Adresse gesendet wurde, und legen Sie ein neues Passwort fest (mindestens 8 Zeichen, bestätigt). Ohne Code keine Änderung.

    Passwort ändern (Settings → Security)
  3. 3

    Wenden Sie Least-Privilege-Rollen an

    Weisen Sie Mitgliedern die engste Rolle zu, die für ihre Aufgabe ausreicht. Owner sind geschützt — sie können über das Mitgliedermenü nicht suspendiert oder entfernt werden. Das vollständige Rollen-Setup finden Sie im Tutorial zu Permission Groups und Rollen.

  4. 4

    Begrenzen Sie API-Schlüssel auf enge Scopes

    Vergeben Sie beim Erstellen eines Developer-API-Schlüssels nur die tatsächlich benötigten Scopes — zum Beispiel contacts:read für einen reinen Lese-Export — statt des vollzugriffigen *-Scopes. Die Anleitung dazu finden Sie im Tutorial zum Erstellen von Developer-API-Schlüsseln.

  5. 5

    Rotieren oder widerrufen Sie Schlüssel

    Die API-Schlüsselverwaltung (nur für Admin/Owner) erlaubt Ihnen, einen Schlüssel in dem Moment zu widerrufen, in dem er offengelegt wird. Bevorzugen Sie mehrere eng begrenzte Schlüssel, die Sie einzeln widerrufen können, statt eines allmächtigen Schlüssels.

  6. 6

    Suspendieren oder entfernen Sie ein Mitglied

    Öffnen Sie unter Team das Menü eines Mitglieds und wählen Sie Suspend (Zugriff vorübergehend sperren, über Unsuspend umkehrbar) oder Remove (Zugriff wird sofort entzogen; das Mitglied kann später erneut eingeladen werden).

  7. 7

    Eine kurze Härtungs-Checkliste

    Starkes Passwort per OTP gesetzt, jedes Mitglied auf Least-Privilege, API-Schlüssel mit Scopes statt *, und jeden, der das Team verlässt, suspendieren oder entfernen.

Profi-Tipps

Hart erarbeitete Abkürzungen, damit die Aufwärmung auf Kurs bleibt.

1

Ein API-Schlüssel pro Integration

Erstellen Sie einen Schlüssel pro Integration mit nur den benötigten Scopes — wird einer offengelegt, widerrufen Sie nur diesen Schlüssel, ohne die anderen zu beeinträchtigen.

2

Vermeiden Sie Vollzugriffsschlüssel für reine Lesejobs

Geben Sie niemals einen * (Vollzugriff-)API-Schlüssel für einen reinen Lesejob heraus; contacts:read oder campaigns:read reicht für ein Skript in der Regel völlig aus.

3

Suspendieren, bevor Sie entfernen

Im Zweifel zuerst suspendieren — das ist sofort umkehrbar. Ein Entfernen bedeutet, die Person später erneut einladen zu müssen.

4

Schützen Sie Ihre Konto-E-Mail

Passwortänderungen erfordern einen Code, der an Ihre Konto-E-Mail-Adresse gesendet wird — behalten Sie den Zugriff auf dieses Postfach, sonst können Sie Ihr Passwort nicht rotieren.

Häufig gestellte Fragen

Unterstützt FirstSales 2FA/MFA?

Derzeit nicht. Ihre Konto-Kontrollen sind eine per E-Mail-OTP verifizierte Passwortänderung, Least-Privilege-Rollen, eng begrenzte API-Schlüssel sowie Suspend/Remove für Mitglieder. Verwenden Sie ein starkes, einzigartiges Passwort und enge Rollen.

Wie ändere ich mein Passwort?

Settings → Security → Change Password → einen 6-stelligen Code per E-Mail erhalten → verifizieren → neues Passwort festlegen (mindestens 8 Zeichen).

Kann ich mich auf anderen Geräten abmelden oder aktive Sitzungen sehen?

Es gibt derzeit keine Sitzungsverwaltung. Um den Zugriff einer Person zu kappen, suspendieren oder entfernen Sie sie aus dem Team.

Wie begrenze ich, was ein API-Schlüssel tun kann?

Wählen Sie beim Erstellen spezifische Scopes (Read/Write pro Ressource). Vermeiden Sie den *-Vollzugriff-Scope, sofern Sie ihn nicht wirklich benötigen. Die Schlüsselverwaltung ist nur für Admin/Owner.

Was ist der Unterschied zwischen dem Suspendieren und Entfernen eines Mitglieds?

Suspend sperrt den Zugriff vorübergehend und ist umkehrbar (Unsuspend). Remove entzieht den Zugriff sofort; die Person kann später erneut eingeladen werden.

Kann ein normaler Admin den Owner löschen?

Nein — der Owner ist geschützt; das Suspend/Remove-Menü erscheint weder für Owner noch für Sie selbst.

Bereit, das in die Praxis umzusetzen?

Starten Sie Ihre FirstSales-Testphase und richten Sie in wenigen Minuten ein aufgewärmtes, authentifiziertes Postfach ein.

Für 1 $ starten