API-Schlüssel (Application Programming Interface) können verwendet werden, um bestimmten Programmen einen leichten Zugriff auf Nutzerdaten zu gewähren.
API-Schlüssel können jedoch kompromittiert werden, wenn sie nicht richtig verwaltet werden, was wiederum die Sicherheit deiner Assets gefährdet.
Binance unterstützt jetzt RSA API-Schlüsselpaare für erhöhte Sicherheit. Erfahre, wie du sie generierst und verwendest.
API-Schlüssel ermöglichen Nutzern den bequemen Zugriff auf ihre Daten. Von RSA-Schlüsselpaaren bis hin zu PI-Whitelists – lerne fünf Tipps von Binance, um deine API-Schlüssel sicher zu halten.
API-Schlüssel (Application Programming Interface) sind ein effizientes Mittel, um bestimmten Programmen Zugriff auf Nutzerdaten zu gewähren, so dass sie im Namen des Nutzers handeln können. Allerdings können API-Schlüssel Schwachstellen aufweisen, wenn sie nicht ordnungsgemäß gespeichert und verwendet werden. So könnten böswillige Akteure, die die API-Schlüssel ihrer Opfer stehlen oder ausspähen, Zugriff auf deren Mittel erhalten. In der Folge geben wir dir fünf Tipps, mit denen du deine API-Schlüssel und somit auch deine Assets schützt.
Der geheime Schlüssel (HMAC) und der private Schlüssel (RSA) deines API-Schlüssels sind hochsensible Daten. Wir raten dir dringend davon ab, diese Informationen weiterzugeben. Denn jeder, der in deren Besitz gelangt, kann eine API-Anfrage in deinem Namen initiieren, ohne von unserem Risikoüberwachungssystem entdeckt zu werden.
Du solltest auch regelmäßig die aktiven API-Schlüssel deines Kontos über die API-Verwaltungsseite überprüfen. Wenn du den Verdacht hast, dass die Sicherheit eines API-Schlüssels gefährdet ist, solltest du nicht zögern, ihn zu löschen und durch einen neuen zu ersetzen. Auch wenn kein Verdacht auf Kompromittierung deiner API-Schlüssel besteht, solltest du sie aus Sicherheitsgründen regelmäßig aktualisieren (z.B. alle 30 oder 90 Tage) – unabhängig davon, ob du sie aktiv benutzt oder nicht.
API-Schlüssel sind nützliche Tools für den automatisierten Handel, die Positions- und Risikoüberwachung und der Berechnung Ihrer Steuerpflicht. Daher kann es verlockend sein, alle Berechtigungen für einen einzigen API-Schlüssel zu aktivieren, um ihn für mehrere Zwecke zu nutzen, z.B. für den API-Handel und Datenabfragen. Dies verringert jedoch die Sicherheit des Schlüssels – wenn dein API-Schlüssel kompromittiert wird, kann ein Hacker vollen Zugriff auf dein Konto und deine Mittel erhalten.
Sicherer ist es, einen API-Schlüssel für eine einzige Anwendung zu verwenden und nur die für diesen Zweck erforderlichen Berechtigungen zu aktivieren. Wenn du zum Beispiel das Handelsrisiko überwachen, Steuern melden und den API-Spot- und Futures-Handel ausführen möchtest, solltest du mindestens vier Schlüssel erstellen, die jeweils einem der folgenden Zwecke dienen:
Spot-Handel
Futures-Handel
Steuerdatenabfrage
Handelsdatenabfrage (Nur-Lese-Berechtigung)
Auf Binance kannst du bis zu 30 API-Schlüssel für jedes Unterkonto erstellen.
Wie bereits erwähnt, können deine Assets gefährdet sein, wenn deine API-Schlüssel in die Hände eines böswilligen Akteurs fallen. Genau wie du deine privaten Schlüssel schützen würdest, solltest du deine API-Details nicht im Klartext speichern. Verschlüssle sie stattdessen oder verwende einen vertrauenswürdigen Geheimhaltungsmanager. Du solltest auch vermeiden, deine API-Schlüssel in einer cloudbasierten Lösung zu speichern, da diese anfällig für Hacks sein können.
Außerdem empfehlen wir dir, deinen API-Schlüssel nicht im Quellcode oder Repository deiner Anwendung zu speichern.
Du solltest zudem in Erwägung ziehen, deine API-Schlüsseldaten in Dateien oder Umgebungsvariablen außerhalb des von dir genutzten Verwaltungssystems eines Drittanbieters zu speichern, um zu vermeiden, dass deine privaten Informationen mit diesem System geteilt werden.
Da private RSA-Schlüssel einen Passwortschutz unterstützen, sollten Nutzer, die RSA-Schlüssel verwenden, jedem privaten RSA-Schlüssel, den sie besitzen, ein Passwort hinzufügen.
Binance empfiehlt Nutzern dringend, eine IP-Whitelist für alle ihre API-Schlüssel zu verwenden, unabhängig von den Berechtigungen oder dem Zweck der API-Schlüssel. Mit einer IP-Whitelist kann auf deine API-Schlüssel nur von bestimmten IP-Adressen aus zugegriffen werden. Dies verhindert, dass böswillige Akteure deine API-Schlüssel verwenden, falls sie kompromittiert werden. Daher solltest du alle IP-Adressen, mit denen du deine API-Schlüssel verwendest, auf die Whitelist setzen.
Obwohl ein API-Schlüssel ohne IP-Whitelisting nicht zur Einleitung von Auszahlungsanfragen verwendet werden kann, musst du deine API-Schlüssel schützen. Wenn ein Hacker Zugang zu deinen Schlüsseln erhält, kann er Assets mit einem relativ geringen Handelsvolumen für den Paarhandel verwenden und langsam Assets aus deiner Wallet transferieren. Indem er unerwünschte Assets vom Konto des Hackers kauft und mit deinen Blue-Chip-Assets (BTC, BNB, BUSD usw.) handelt, bleiben dir schließlich Altcoins, die du nie kaufen wolltest. Mit anderen Worten: Der Hacker kann deine API-Schlüssel verwenden, um deine Assets gegen seine Assets auf einem Markt mit relativ geringer Liquidität zu handeln.
Um solchen Betrügereien vorzubeugen, hat Binance im Dezember 2022 eine Richtlinie zur automatischen Löschung von API-Schlüsseln eingeführt. Wenn dein API-Schlüssel nicht auf der IP-Whitelist steht und 30 Tage lang inaktiv ist, wird er gelöscht. Um eine automatische Löschung zu vermeiden, solltest du deine IP-Whitelist erstellen.
Ein RSA-Schlüsselpaar (Rivest-Shamir-Adleman) ist ein Mechanismus, der öffentliche und private Schlüssel zur Sicherung der Datenübertragung verwendet.
Bei einem RSA-Schlüsselpaar muss der private Schlüssel, der zur Erstellung von Signaturen verwendet wird, nicht weitergegeben werden. Solange der private Schlüssel geheim und sicher gehalten wird, kann daher niemand eine authentische Anfrage in deinem Namen initiieren.
Binance unterstützt jetzt RSA-API-Schlüssel. Du kannst öffentliche und private RSA-Schlüsselpaare erstellen, den öffentlichen Schlüssel auf Binance registrieren und den entsprechenden privaten Schlüssel verwenden, um signierte API-Anfragen zu erstellen.
Lade die neueste Version des offiziellen RSA-Schlüsselgenerators herunter.
Öffne die Anwendung. Du kannst Schlüssel generieren, kopieren oder speichern. Darüber hinaus kannst du deine Schlüsselgröße anpassen.
Um deinen RSA-Schlüssel über die Binance-App zu registrieren, gehe zu [Profil] – [API-Management] – [API erstellen] – [Selbst generierter API-Schlüssel].
Kopiere den öffentlichen Schlüssel aus dem RSA-Schlüsselgenerator und füge ihn in das Feld für die Registrierung ein.
Gib einen Namen für deinen API-Schlüssel ein, klicke auf [Weiter] und führe die 2FA durch, um die Registrierung abzuschließen.
Weitere Einzelheiten findest du in unserem Leitfaden zum Generieren eines RSA-Schlüsselpaars zum Senden von API-Anforderungen auf Binance.
(Ankündigung) Binance unterstützt jetzt RSA-API-Schlüssel (29.12.2022)
(Blog) Wie man gängige Krypto-Imitatoren-Betrugsmaschen erkennt und wie man sich vor ihnen schützen kann
(Blog) Betrügerische Wiederherstellungsdienste: Wie man nicht zweimal auf den gleichen Betrug hereinfällt
(Blog) Betrüger haben ein KI-Hologramm von mir erstellt, um ahnungslose Projekte zu betrügen
