Hlavní bod

  • Klíče rozhraní API (Application Programming Interface) lze použít k zajištění snadného přístupu k uživatelským datům pro určité programy.

  • Klíče API však mohou být ohroženy, pokud nejsou správně spravovány. Naučit se, jak bezpečně používat klíče API, je zásadní, abyste zabránili kompromitaci vašich prostředků.

  • Binance nyní podporuje páry klíčů RSA API pro zvýšení bezpečnosti. Naučte se jej vytvářet a používat.

Klíče API umožňují uživatelům snadný přístup k jejich datům. Od párů klíčů RSA po seznamy povolených klíčů API – přečtěte si od Binance pět tipů, jak udržet klíče API v bezpečí.

Klíče rozhraní API (Application Programming Interface) představují účinný způsob, jak určitým programům poskytnout přístup k uživatelským datům, aby jednaly jménem uživatele. Klíče API však mohou způsobit zranitelnosti, pokud nejsou správně uloženy a používány. Například zákeřný hráč, který ukradne nebo phishinguje klíč API své oběti, by mohl potenciálně získat přístup k finančním prostředkům oběti. Naučte se, jak zabezpečit svá aktiva, pomocí našich pěti bezpečnostních tipů pro klíč API.

1. Nesdílejte své klíče s ostatními

Tajný klíč (HMAC) a soukromý klíč (RSA) vašeho klíče API jsou vysoce citlivá data. Důrazně vám doporučujeme tyto informace nezveřejňovat. S tímto klíčem může kdokoli iniciovat požadavky API vaším jménem, ​​aniž by byl detekován našimi systémy sledování rizik.

Měli byste také často kontrolovat aktivní klíče API ve svém účtu prostřednictvím stránky správy rozhraní API. Pokud máte podezření na ohrožení zabezpečení jakéhokoli API klíče, neváhejte jej smazat a nahradit novým. Je také dobré často mazat staré klíče API a nahrazovat je novými, podobně jako některé systémy, které vyžadují změnu hesel každých 30–90 dní – ať už je aktivně používáte nebo ne.

2. Buďte opatrní při správě přístupu

API klíče jsou užitečným nástrojem pro automatizované obchodování, sledování pozic a rizik a daně. Proto můžete být v pokušení povolit všechna oprávnění pro jeden klíč API k použití pro různé účely, jako je obchodování s API a dotazování na data. To však snižuje zabezpečení klíče – pokud je váš klíč API kompromitován, hackeři mohou získat plný přístup k vašemu účtu a finančním prostředkům.

Je pro vás bezpečnější používat klíč API pro jednu aplikaci a povolit oprávnění potřebná pouze pro tento účel. Chcete-li například monitorovat obchodní riziko, hlásit daně a provádět obchody Spot a Futures API, musíte vytvořit alespoň čtyři klíče, každý pro jeden z následujících účelů:

  1. Spotové obchodování

  2. Futures obchodování

  3. Dotaz na daňové údaje

  4. Dotaz na obchodní data (oprávnění pouze pro čtení)

Na Binance můžete pro každý podúčet vytvořit až 30 klíčů API.

3. Bezpečně uložte data klíče API

Jak již bylo zmíněno, pokud se váš klíč API dostane do rukou zločince, váš majetek může být ohrožen. Stejně jako chráníte soukromé klíče, neukládejte podrobnosti o rozhraní API v prostém textu. Místo toho zašifrujte nebo použijte správce důvěryhodných tajemství. Měli byste se také vyhnout používání cloudových řešení k ukládání klíčů API, protože mohou být zranitelní vůči hackerům.

Také se doporučuje neukládat klíč API ve zdrojovém kódu nebo úložišti vaší aplikace.

Zvažte ukládání dat klíče API do souborů nebo proměnných prostředí mimo systémy správy třetích stran, které používáte, abyste s nimi nesdíleli své osobní údaje.

Protože soukromé klíče RSA podporují ochranu heslem, uživatelé používající klíče RSA musí přidat heslo ke všem soukromým klíčům RSA, které vlastní.

4. Použijte seznam povolených IP adres

Binance důrazně doporučuje uživatelům používat seznam povolených IP adres na všech jejich klíčích API, bez ohledu na oprávnění nebo účel klíče API. Pomocí seznamu povolených IP adres lze ke klíči API přistupovat pouze z konkrétní IP adresy. To zabrání zločincům používat váš klíč API, pokud je kompromitován. Proto musíte uvést všechny IP adresy používané k použití vašeho klíče API na seznam povolených.

Pozor na podvody

I když klíče API nelze použít k inicializaci požadavků na vyžádání bez zařazení IP na seznam povolených, musíte své klíče API chránit. Pokud hackeři získají přístup k vašim klíčům, mohou použít aktiva s relativně malými obchodními objemy k obchodování a pomalu vysát aktiva z vaší peněženky. Prováděním nákupů nechtěných aktiv z účtů hackerů a jejich výměnou za vaše blue chip aktiva (BTC, BNB atd.) skončíte jako vlastník altcoinů, které jste nikdy neměli v úmyslu koupit. Jinými slovy, hackeři mohou použít váš klíč API k výměně vašich aktiv za jejich aktiva na trzích, které mají relativně nízkou likviditu.

Aby se takovým podvodům zabránilo, zavedla Binance v prosinci 2022 zásady automatického mazání klíče API. Pokud váš klíč API nepoužívá IP adresu na seznamu povolených a je neaktivní po dobu 30 dnů, bude smazán. Abyste se vyhnuli automatickému smazání, měli byste svou IP zapsat na seznam povolených.

5. Použijte pár klíčů RSA

Pár klíčů RSA (Rivest-Shamir-Adleman) je mechanismus, který používá veřejný klíč a soukromý klíč k zabezpečení přenosu dat.

U páru klíčů RSA není nutné sdílet soukromý klíč použitý k vytvoření podpisu. To znamená, že pokud je soukromý klíč uchováván v tajnosti a zabezpečený, ostatní nemohou iniciovat autentické požadavky vaším jménem.

Binance nyní podporuje klíče RSA API

Binance nyní podporuje klíče RSA API. Nyní můžete vytvořit pár veřejného a soukromého klíče RSA, zaregistrovat veřejný klíč na Binance a použít odpovídající soukromý klíč k vytváření podepsaných požadavků API.

Jak vytvořit pár klíčů RSA na Binance?

  1. Stáhněte si nejnovější verzi oficiálního generátoru klíčů RSA.

  1. Spusťte aplikaci. Klíče můžete vytvářet, kopírovat nebo ukládat. Můžete si také přizpůsobit velikost vašich klíčů.

  1. Chcete-li zaregistrovat svůj klíč RSA prostřednictvím aplikace Binance, přejděte na [Profil] - [Správa API] - [Vytvořit API] - [Vytvořit klíč API].

  1. Zkopírujte veřejný klíč z generátoru klíčů RSA a vložte jej do pole pro registraci.

  1. Zadejte název pro váš klíč API, klikněte na [Další] a poté dokončete registraci 2FA.

Další podrobnosti naleznete v naší příručce Jak vytvořit pár klíčů RSA pro odesílání požadavků API na Binance.

Další čtení

  • (Oznámení) Binance nyní podporuje klíče RSA API (2022-12-29)

  • (Blog) Jak identifikovat a vyhnout se podvodům od běžných krypto podvodníků

  • (Blog) Fake Funds Recovery Services: Jak se vyhnout tomuto typu podvodu

  • (Blog) Jak rozpoznat a vyhnout se P2P podvodům

  • (Blog) Fraudster vytváří AI Hologram of Me, aby podvedl krypto projekty