Hlavní Takeaways
Klíče rozhraní API (Application Programming Interface) lze použít k zajištění pohodlného přístupu určitých programů k uživatelským datům.
Klíče API však mohou být ohroženy, pokud nejsou správně spravovány. Naučit se, jak bezpečně používat klíče API, je nezbytné, abyste zabránili kompromitaci vašich prostředků.
Binance nyní podporuje páry klíčů RSA API pro zvýšení bezpečnosti. Zjistěte, jak je generovat a používat.
Klíče API umožňují uživatelům pohodlný přístup ke svým datům. Od párů klíčů RSA po seznamy povolených klíčů IP – přečtěte si od Binance pět tipů, jak udržet klíče API v bezpečí.
Co je API klíč?
Aplikační programovací rozhraní (API) jsou efektivní způsob, jak poskytnout určitým programům přístup k uživatelským datům, což jim umožňuje jednat jménem uživatele. S API lze stahovat data z Binance, aby bylo možné interagovat s externími aplikacemi podle potřeby. Nicméně, API klíče mohou přinášet zranitelnosti, pokud nejsou správně ukládány a používány. Například zlí aktéři, kteří ukradnou nebo vylákají API klíče svých obětí, by mohli potenciálně získat přístup k jejich prostředkům. Naučte se chránit svá aktiva s našimi pěti tipy na zabezpečení API klíčů.
Pět tipů pro zabezpečení vašich Binance API klíčů
1. Nesdílejte svůj API klíč s ostatními
Tajný klíč vašeho API (HMAC) a soukromý klíč (Ed25519, RSA) jsou vysoce citlivá data. Nikdy nesdílejte API klíče s třetími stranami. S vaším tajným klíčem API může kdokoli iniciovat API žádost vaším jménem, aniž by byl detekován naším systémem pro monitorování rizika.
Měli byste také často kontrolovat aktivní API klíče na svém účtu prostřednictvím stránky správy API. Pokud máte podezření, že je bezpečnost některého API klíče ohrožena, ihned je změňte. Je také dobré pravidelně měnit API klíče, podobně jako některé systémy vyžadují, aby byly hesla měněna každých 30-90 dní – bez ohledu na to, zda je aktivně používáte či nikoli.
2. Buďte pečliví v řízení přístupu
API klíče jsou užitečné pro úkoly jako automatizované obchodování, monitorování pozic a rizik a daňové účely. Proto může být lákavé povolit všechna oprávnění na jednom API klíči a používat ho pro více účelů, jako je obchodování API a dotazy na data. To však snižuje zabezpečení klíče – pokud je váš API klíč kompromitován, hacker by mohl získat plný přístup k vašemu účtu a prostředkům.
Je bezpečnější používat API klíč pro jednu aplikaci a povolit pouze ta oprávnění, která jsou pro tento účel potřebná. Například pokud chcete monitorovat obchodní riziko, hlásit daně a provádět obchodování s API spot a futures, měli byste vytvořit alespoň čtyři klíče, jeden pro každý z následujících účelů:
Obchodování se spotovými měnami
Obchodování s futures
Dotaz na daňová data
Dotaz na obchodní data (pouze pro čtení)
Na Binance můžete vytvořit až 30 API klíčů pro každý sub-účet.
3. Ukládejte svá API klíčová data bezpečně
Jak bylo zmíněno, pokud se vaše API klíče dostanou do rukou špatného aktéra, vaše aktiva mohou být ohrožena. Stejně jako chráníte své soukromé klíče, neukládejte své API detaily v prostém textu. Místo toho je šifrujte nebo používejte důvěryhodného správce tajemství. Měli byste se také vyhnout používání cloudových řešení pro uchovávání vašich API klíčů, protože mohou být zranitelná vůči hackům.
Je také doporučeno vyhnout se ukládání vašich API klíčů do zdrojového kódu vaší aplikace nebo repozitáře. Pokud používáte Github nebo jiné SCM, doporučujeme používat skenery tajemství, jako jsou gitLeaks nebo git-secrets, abyste zajistili, že váš token a další tajemství používaná vašimi nástroji nepřetrvávají v repozitáři.
Zvažte ukládání vašich API klíčových dat do souborů nebo proměnných prostředí mimo třetí správce, kterého používáte, abyste se vyhnuli sdílení svých soukromých informací s nimi. Použijte další ochranu pomocí fráze pro soubory soukromého klíče.
4. Používejte IP whitelist
Důrazně doporučujeme, aby uživatelé využívali IP whitelist na všech svých API klíčích, bez ohledu na oprávnění nebo účely těchto klíčů. S IP whitelistem mohou být vaše API klíče přístupné pouze z konkrétních IP adres. To zabraňuje špatným aktérům v používání vašich API klíčů, pokud by byly kompromitovány.
I když nelze použít API klíč k iniciaci žádostí o výběr bez IP whitelistingu, existují i jiné způsoby, jak mohou být klíče zneužity. Pokud hacker získá přístup k vašim klíčům, mohl by použít aktiva s relativně malým obchodním objemem k párovému obchodování a pomalu siphonovat aktiva z vaší peněženky. Provádění nákupů nežádoucích aktiv z účtu hackera a obchodování s nimi proti vašim blue chip aktivům (BTC, BNB, TUSD atd.) vás nakonec zanechá s altcoiny, které jste nikdy nehodlali koupit. Jinými slovy, hacker může použít vaše API klíče k obchodování vašich aktiv proti jejich aktivům na trhu s relativně nízkou likviditou.
Aby se předešlo takovým podvodům, Binance zavedla politiku automatického mazání API klíčů. Pokud váš API klíč není IP whitelistován a je neaktivní po dobu 30 dní, bude smazán. Abyste se vyhnuli automatickému smazání, měli byste vytvořit svůj IP whitelist.
Doporučujeme také být pečliví při používání knihoven a nástrojů třetích stran. Existují zlé knihovny speciálně navržené k exfiltraci API klíčů. Kromě skenerů virů a malwaru zvažte použití nástroje pro analýzu složení softwaru (SCA) a pečlivě zkontrolujte knihovny třetích stran před jejich zahrnutím.
5. Používejte asymetrické páry klíčů
Asymetrický pár klíčů je mechanismus, který používá veřejné a soukromé klíče k zabezpečení přenosu dat. S asymetrickým párem klíčů není nutné sdílet soukromý klíč používaný k vytváření podpisů. To znamená, že pokud je soukromý klíč uchováván v tajnosti a bezpečí, nikdo jiný nemůže iniciovat autentickou žádost vaším jménem.
Binance nyní podporuje použití klíčů Ed25519 a RSA (Rivest-Shamir-Adleman) pro vytváření podepsaných API žádostí. Digitální podpisový systém Ed25519 poskytuje vysokou úroveň zabezpečení srovnatelnou s 3072-bitovými RSA klíči, přičemž má mnohem menší podpisy, které se rychleji počítají.
Jak vygenerovat API klíč na Binance
Nyní můžete vytvářet veřejné a soukromé páry klíčů Ed25519 a RSA, registrovat veřejné klíče na Binance a používat odpovídající soukromý klíč k vytváření podepsaných API žádostí.
Krok za krokem průvodce vytvářením asymetrického páru klíčů
Stáhněte si nejnovější verzi našeho oficiálního generátoru asymetrických klíčů
Spusťte aplikaci. Můžete generovat, kopírovat nebo ukládat klíče. Můžete také upravit velikost svého klíče.
Chcete-li zaregistrovat svůj veřejný klíč prostřednictvím aplikace Binance, přejděte do [Profil] -> [API Management] -> [Vytvořit API] -> [Sebe-generovaný API klíč].
Kopírujte veřejný klíč z generátoru asymetrických klíčů a vložte ho do políčka pro registraci.
Zadejte název pro svůj API klíč, klikněte na [Další] a dokončete 2FA pro dokončení registrace.
Pro více informací se prosím podívejte na náš průvodce Jak vygenerovat pár klíčů Ed25519 pro odesílání API žádostí na Binance.
5 běžných chyb v zabezpečení API klíčů, kterým se vyhnout
Sdílení vašeho API klíče: Nikdy nesdílejte své API klíče s třetími stranami. To může umožnit neoprávněný přístup k vašemu účtu, což může vést k potenciální ztrátě prostředků.
Povolování nadměrných oprávnění: Vyhněte se povolování všech oprávnění na jednom API klíči. Používejte samostatné klíče pro různé účely, abyste minimalizovali riziko, pokud by byl jeden klíč kompromitován.
Nezabezpečené ukládání API klíčů: Neukládejte své API klíče v prostém textu nebo v rámci zdrojového kódu vaší aplikace. Používejte šifrování nebo důvěryhodné správce tajemství, abyste je udrželi v bezpečí.
Nepoužívání IP whitelistingu: Vždy používejte IP whitelist k omezení přístupu k vašim API klíčům z konkrétních IP adres, což zabraňuje neoprávněnému použití i v případě, že jsou klíče kompromitovány.
Zanedbávání asymetrických párů klíčů: Využívejte asymetrické páry klíčů (Ed25519 nebo RSA) pro vytváření podepsaných API žádostí, což zajišťuje, že váš soukromý klíč zůstane v bezpečí.
Závěrečné myšlenky
Zabezpečení vašich API klíčů je klíčové pro ochranu vašich aktiv a zajištění bezpečných interakcí s externími aplikacemi. Dodržováním osvědčených praktik, jako je nesdílení vašich API klíčů, pečlivé řízení přístupu, bezpečné ukládání klíčů, používání IP whitelistů a využívání asymetrických párů klíčů, můžete výrazně snížit riziko neoprávněného přístupu a potenciální ztráty prostředků. Buďte ostražití a proaktivní při správě vašich API klíčů, abyste vždy udrželi svá digitální aktiva v bezpečí na Binance.
Další čtení
Jak identifikovat a vyhnout se běžným podvodům s kryptoměnami
Podvodné služby pro obnovu: Jak se nenechat podvést dvakrát
Jak rozpoznat a vyhnout se P2P podvodům a podvodům