Wichtigste Imbissbuden
Mithilfe von API-Schlüsseln (Application Programming Interface) können bestimmte Programme bequem auf Benutzerdaten zugreifen.
Allerdings können API-Schlüssel gefährdet sein, wenn sie nicht ordnungsgemäß verwaltet werden. Um zu verhindern, dass Ihre Vermögenswerte gefährdet werden, ist es wichtig zu lernen, wie Sie Ihre API-Schlüssel sicher verwenden.
Binance unterstützt jetzt RSA-API-Schlüsselpaare für mehr Sicherheit. Erfahren Sie, wie Sie diese generieren und verwenden.
API-Schlüssel ermöglichen Benutzern den bequemen Zugriff auf ihre Daten. Von RSA-Schlüsselpaaren bis hin zu IP-Schlüssel-Whitelists – erfahren Sie fünf Tipps von Binance, um Ihre API-Schlüssel sicher aufzubewahren.
Was ist ein API-Schlüssel?
Anwendungsprogrammierschnittstellen (APIs) sind eine effiziente Möglichkeit, bestimmten Programmen den Zugriff auf Benutzerdaten zu gewähren, sodass sie im Namen des Benutzers handeln können. Mit APIs können Daten von Binance abgerufen werden, um nach Bedarf mit externen Anwendungen zu interagieren. API-Schlüssel können jedoch Verwundbarkeiten mit sich bringen, wenn sie nicht ordnungsgemäß gespeichert und verwendet werden. Zum Beispiel könnten böswillige Akteure, die die API-Schlüssel ihrer Opfer stehlen oder phishen, potenziell Zugriff auf deren Gelder erhalten. Lernen Sie, wie Sie Ihre Vermögenswerte mit unseren fünf Sicherheitstipps für API-Schlüssel schützen können.
Fünf Tipps zur Sicherung Ihrer Binance API-Schlüssel
1. Teilen Sie Ihren API-Schlüssel nicht mit anderen
Der geheime Schlüssel Ihrer API (HMAC) und der private Schlüssel (Ed25519, RSA) sind hochsensibles Daten. Teilen Sie die API-Schlüssel niemals mit Dritten. Mit dem geheimen Schlüssel Ihrer API kann jeder im Namen Ihrer API eine Anfrage initiieren, ohne von unserem Risikomanagementsystem erkannt zu werden.
Sie sollten auch regelmäßig die aktiven API-Schlüssel in Ihrem Konto über die API-Verwaltungsseite überprüfen. Wenn Sie den Verdacht haben, dass die Sicherheit eines API-Schlüssels gefährdet ist, ändern Sie ihn sofort. Es ist auch ratsam, die API-Schlüssel regelmäßig zu wechseln, ähnlich wie einige Systeme erfordern, dass Passwörter alle 30-90 Tage geändert werden – unabhängig davon, ob Sie sie aktiv nutzen oder nicht.
2. Seien Sie sorgfältig im Zugriffsmanagement
API-Schlüssel sind nützlich für Aufgaben wie automatisierten Handel, Positions- und Risikomanagement sowie Steuerzwecke. Daher kann es verlockend sein, alle Berechtigungen auf einem einzigen API-Schlüssel zu aktivieren und ihn für mehrere Zwecke zu verwenden, z.B. für den API-Handel und Datenabfragen. Dies reduziert jedoch die Sicherheit des Schlüssels – wenn Ihr API-Schlüssel kompromittiert wird, könnte ein Hacker vollständigen Zugriff auf Ihr Konto und Ihre Gelder erhalten.
Es ist sicherer, einen API-Schlüssel für eine einzige Anwendung zu verwenden und nur die für diesen Zweck erforderlichen Berechtigungen zu aktivieren. Wenn Sie beispielsweise das Handelsrisiko überwachen, Steuern melden und API-Spot- und Futures-Handel ausführen möchten, sollten Sie mindestens vier Schlüssel erstellen, einen für jeden der folgenden Zwecke:
Spot-Handel
Futures-Handel
Abfrage von Steuerdaten
Abfrage von Handelsdaten (nur Leseerlaubnis)
Auf Binance können Sie bis zu 30 API-Schlüssel für jedes Unterkonto erstellen.
3. Speichern Sie Ihre API-Schlüssel-Daten sicher
Wie bereits erwähnt, können Ihre Vermögenswerte gefährdet sein, wenn Ihre API-Schlüssel in die Hände eines böswilligen Akteurs fallen. Genau wie Sie Ihre privaten Schlüssel schützen würden, speichern Sie Ihre API-Details nicht im Klartext. Verschlüsseln Sie sie stattdessen oder verwenden Sie einen vertrauenswürdigen Geheimnisverwalter. Sie sollten auch vermeiden, cloudbasierte Lösungen zur Speicherung Ihrer API-Schlüssel zu verwenden, da diese anfällig für Hacks sein können.
Es wird außerdem empfohlen, Ihre API-Schlüssel nicht im Quellcode oder im Repository Ihrer Anwendung zu speichern. Wenn Sie Github oder andere SCMs verwenden, empfehlen wir die Verwendung von Geheimnisscannern wie gitLeaks oder git-secrets, um sicherzustellen, dass Ihr Token und andere von Ihren Tools verwendete Geheimnisse nicht im Repo verbleiben.
Erwägen Sie, Ihre API-Schlüssel-Daten in Dateien oder Umgebungsvariablen außerhalb des Drittanbieter-Verwaltungssystems zu speichern, das Sie verwenden, um zu vermeiden, dass Sie Ihre privaten Informationen mit ihnen teilen. Verwenden Sie zusätzlichen Passwortschutz für die Dateien mit privaten Schlüsseln.
4. Verwenden Sie eine IP-Whitelist
Wir empfehlen dringend, dass Benutzer eine IP-Whitelist für alle ihre API-Schlüssel nutzen, unabhängig von den Berechtigungen oder Zwecken dieser Schlüssel. Mit einer IP-Whitelist können Ihre API-Schlüssel nur von bestimmten IP-Adressen aus aufgerufen werden. Dies verhindert, dass böswillige Akteure Ihre API-Schlüssel verwenden, falls sie kompromittiert werden.
Obwohl ein API-Schlüssel ohne IP-Whitelist nicht verwendet werden kann, um Abhebungsanfragen zu initiieren, gibt es andere Möglichkeiten, wie die Schlüssel missbraucht werden können. Wenn ein Hacker Zugriff auf Ihre Schlüssel erhält, könnte er Vermögenswerte mit relativ kleinem Handelsvolumen verwenden, um Paarhandel zu betreiben und langsam Vermögenswerte aus Ihrem Wallet abzuziehen. Der Kauf unerwünschter Vermögenswerte vom Konto des Hackers und der Handel damit gegen Ihre Blue-Chip-Vermögenswerte (BTC, BNB, TUSD usw.) wird Sie schließlich mit Altcoins zurücklassen, die Sie nie kaufen wollten. Mit anderen Worten, der Hacker kann Ihre API-Schlüssel verwenden, um Ihre Vermögenswerte gegen seine Vermögenswerte in einem Markt mit relativ geringer Liquidität zu handeln.
Um solche Betrügereien zu verhindern, hat Binance eine automatische API-Schlüssel-Löschrichtlinie implementiert. Wenn Ihr API-Schlüssel nicht IP-whitelisted und 30 Tage inaktiv ist, wird er gelöscht. Um die automatische Löschung zu vermeiden, sollten Sie Ihre IP-Whitelist erstellen.
Wir empfehlen auch, sorgfältig mit der Verwendung von Drittanbieter-Bibliotheken und -Tools umzugehen. Es gibt böswillige Bibliotheken, die speziell darauf ausgelegt sind, API-Schlüssel zu exfiltrieren. Neben Virus- und Malware-Scannern sollten Sie in Betracht ziehen, ein Software-Zusammensetzungsanalyse (SCA)-Tool zu verwenden und Drittanbieter-Bibliotheken sorgfältig zu überprüfen, bevor Sie sie einfügen.
5. Verwenden Sie asymmetrische Schlüsselpaar
Ein asymmetrisches Schlüsselpaar ist ein Mechanismus, der öffentliche und private Schlüssel verwendet, um die Datenübertragung zu sichern. Mit einem asymmetrischen Schlüsselpaar muss der private Schlüssel, der zur Erstellung von Signaturen verwendet wird, nicht geteilt werden. Das bedeutet, dass solange der private Schlüssel geheim und sicher aufbewahrt wird, niemand sonst eine authentische Anfrage in Ihrem Namen initiieren kann.
Binance unterstützt jetzt die Verwendung von Ed25519- und RSA (Rivest-Shamir-Adleman)-Schlüsseln zur Erstellung signierter API-Anfragen. Das Ed25519-Digital-Signaturverfahren bietet einen hohen Sicherheitsgrad, der mit 3072-Bit-RSA-Schlüsseln vergleichbar ist, während es viel kleinere Signaturen hat, die schneller zu berechnen sind.
Wie man einen API-Schlüssel auf Binance generiert
Sie können jetzt Ed25519- und RSA-öffentliche und private Schlüsselpaaren erstellen, die öffentlichen Schlüssel bei Binance registrieren und den entsprechenden privaten Schlüssel verwenden, um signierte API-Anfragen zu erstellen.
Schritt-für-Schritt-Anleitung zur Erstellung eines asymmetrischen Schlüsselpaares
Laden Sie die neueste Version unseres offiziellen Generators für asymmetrische Schlüssel herunter
Starten Sie die Anwendung. Sie können Schlüssel generieren, kopieren oder speichern. Sie können auch Ihre Schlüsselgröße anpassen.
Um Ihren öffentlichen Schlüssel über die Binance-App zu registrieren, gehen Sie zu [Profil] -> [API-Verwaltung] -> [API erstellen] -> [Selbstgenerierter API-Schlüssel].
Kopieren Sie den öffentlichen Schlüssel aus dem Generator für asymmetrische Schlüssel und fügen Sie ihn in das Feld ein, um ihn zu registrieren.
Geben Sie einen Namen für Ihren API-Schlüssel ein, klicken Sie auf [Weiter] und schließen Sie die 2FA ab, um die Registrierung abzuschließen.
Für weitere Details beachten Sie bitte unsere Anleitung zur Generierung eines Ed25519-Schlüsselpaares zur Sendung von API-Anfragen auf Binance.
5 häufige Sicherheitsfehler bei API-Schlüsseln, die Sie vermeiden sollten
Teilen Ihres API-Schlüssels: Teilen Sie Ihre API-Schlüssel niemals mit Dritten. Dadurch kann unbefugter Zugriff auf Ihr Konto erfolgen, was zu potenziellen Verlusten führen kann.
Aktivierung übermäßiger Berechtigungen: Vermeiden Sie es, alle Berechtigungen auf einem einzigen API-Schlüssel zu aktivieren. Verwenden Sie separate Schlüssel für unterschiedliche Zwecke, um das Risiko zu minimieren, falls ein Schlüssel kompromittiert wird.
Unsichere Speicherung von API-Schlüsseln: Speichern Sie Ihre API-Schlüssel nicht im Klartext oder im Quellcode Ihrer Anwendung. Verwenden Sie Verschlüsselung oder vertrauenswürdige Geheimnisverwalter, um sie sicher zu halten.
Nichtverwendung von IP-Whitelist: Verwenden Sie immer eine IP-Whitelist, um den Zugriff auf Ihre API-Schlüssel von bestimmten IP-Adressen einzuschränken, um unbefugte Verwendung zu verhindern, selbst wenn die Schlüssel kompromittiert sind.
Vernachlässigung asymmetrischer Schlüsselpaar: Nutzen Sie asymmetrische Schlüsselpaar (Ed25519 oder RSA) zur Erstellung signierter API-Anfragen und stellen Sie sicher, dass Ihr privater Schlüssel sicher bleibt.
Abschließende Gedanken
Die Sicherung Ihrer API-Schlüssel ist entscheidend zum Schutz Ihrer Vermögenswerte und zur Gewährleistung sicherer Interaktionen mit externen Anwendungen. Durch die Befolgung bewährter Praktiken, wie das Teilen Ihrer API-Schlüssel zu vermeiden, den Zugriff sorgfältig zu verwalten, Schlüssel sicher zu speichern, IP-Whitelists zu verwenden und asymmetrische Schlüsselpaar zu nutzen, können Sie das Risiko unbefugter Zugriffe und potenzieller Verluste erheblich reduzieren. Bleiben Sie wachsam und proaktiv im Umgang mit Ihren API-Schlüsseln, um Ihre digitalen Vermögenswerte auf Binance stets sicher zu halten.
Weiterführende Literatur
Wie man häufige Krypto-Imposter-Betrügereien erkennt und vermeidet
Betrügerische Wiederherstellungsdienste: Wie man nicht zweimal auf einen Betrug hereinfällt
Wie man P2P-Betrügereien und Betrug erkennt und vermeidet