Der Hauptpunkt

  • API-Schlüssel (Application Programming Interface) können verwendet werden, um bestimmten Programmen einen einfachen Zugriff auf Benutzerdaten zu ermöglichen.

  • Allerdings können API-Schlüssel gefährdet sein, wenn sie nicht ordnungsgemäß verwaltet werden. Um zu verhindern, dass Ihre Vermögenswerte gefährdet werden, ist es wichtig zu lernen, wie Sie Ihre API-Schlüssel sicher verwenden.

  • Binance unterstützt jetzt RSA-API-Schlüsselpaare für mehr Sicherheit. Erfahren Sie, wie Sie es erstellen und verwenden.

API-Schlüssel ermöglichen Benutzern den einfachen Zugriff auf ihre Daten. Von RSA-Schlüsselpaaren bis hin zu API-Schlüssel-Whitelists: Lernen Sie fünf Tipps von Binance, um Ihre API-Schlüssel sicher aufzubewahren.

API-Schlüssel (Application Programming Interface) sind eine effiziente Möglichkeit, bestimmten Programmen den Zugriff auf Benutzerdaten zu ermöglichen und im Namen des Benutzers zu handeln. Allerdings können API-Schlüssel Schwachstellen mit sich bringen, wenn sie nicht ordnungsgemäß gespeichert und verwendet werden. Beispielsweise könnte ein böswilliger Akteur, der den API-Schlüssel seines Opfers stiehlt oder fälscht, möglicherweise Zugriff auf die Gelder des Opfers erhalten. Erfahren Sie mit unseren fünf API-Sicherheitstipps, wie Sie Ihre Vermögenswerte schützen können.

1. Teilen Sie Ihre Schlüssel nicht mit anderen

Der geheime Schlüssel (HMAC) und der private Schlüssel (RSA) Ihres API-Schlüssels sind hochsensible Daten. Es wird dringend empfohlen, diese Informationen nicht weiterzugeben. Mit diesem Schlüssel kann jeder in Ihrem Namen API-Anfragen initiieren, ohne von unseren Risikoüberwachungssystemen entdeckt zu werden.

Sie sollten außerdem regelmäßig die aktiven API-Schlüssel in Ihrem Konto über die API-Verwaltungsseite überprüfen. Wenn Sie vermuten, dass die Sicherheit eines API-Schlüssels gefährdet ist, zögern Sie nicht, ihn zu löschen und durch einen neuen zu ersetzen. Es ist auch eine gute Idee, häufig alte API-Schlüssel zu löschen und durch neue zu ersetzen, ähnlich wie bei einigen Systemen, bei denen Passwörter alle 30–90 Tage geändert werden müssen – unabhängig davon, ob Sie sie aktiv verwenden oder nicht.

2. Seien Sie bei der Zugriffsverwaltung gewissenhaft

API-Schlüssel sind ein nützliches Werkzeug für automatisierten Handel, Positions- und Risikoüberwachung sowie Steuern. Daher könnten Sie versucht sein, alle Berechtigungen für einen einzelnen API-Schlüssel zu aktivieren, um ihn für mehrere Zwecke zu verwenden, beispielsweise für den API-Handel und die Datenabfrage. Dies verringert jedoch die Sicherheit des Schlüssels – wenn Ihr API-Schlüssel kompromittiert wird, können Hacker vollen Zugriff auf Ihr Konto und Ihr Geld erhalten.

Sie sind sicherer, wenn Sie einen API-Schlüssel für eine einzelne App verwenden und nur die für diesen Zweck erforderlichen Berechtigungen aktivieren. Wenn Sie beispielsweise das Handelsrisiko überwachen, Steuern melden und Spot- und Futures-API-Geschäfte ausführen möchten, müssen Sie mindestens vier Schlüssel erstellen, jeder für einen der folgenden Zwecke:

  1. Spothandel

  2. Futures-Handel

  3. Steuerdatenabfrage

  4. Handelsdatenabfrage (nur Leseberechtigung)

Auf Binance können Sie bis zu 30 API-Schlüssel für jedes Unterkonto erstellen.

3. Speichern Sie Ihre API-Schlüsseldaten sicher

Wie bereits erwähnt, kann Ihr Vermögen gefährdet sein, wenn Ihr API-Schlüssel in die Hände eines Kriminellen gerät. Genauso wie Sie private Schlüssel schützen, sollten Sie Ihre API-Details nicht im Klartext speichern. Verschlüsseln Sie stattdessen oder verwenden Sie einen vertrauenswürdigen Secrets-Manager. Sie sollten auch die Verwendung cloudbasierter Lösungen zum Speichern Ihrer API-Schlüssel vermeiden, da diese möglicherweise anfällig für Hackerangriffe sind.

Es wird außerdem empfohlen, Ihren API-Schlüssel nicht im Quellcode oder Repository Ihrer Anwendung zu speichern. 

Erwägen Sie die Speicherung Ihrer API-Schlüsseldaten in Dateien oder Umgebungsvariablen außerhalb der von Ihnen verwendeten Verwaltungssysteme von Drittanbietern, um die Weitergabe Ihrer persönlichen Daten an diese zu vermeiden.

Da private RSA-Schlüssel den Passwortschutz unterstützen, müssen Benutzer, die RSA-Schlüssel verwenden, allen privaten RSA-Schlüsseln, die sie besitzen, ein Passwort hinzufügen.

4. Verwenden Sie die IP-Whitelist

Binance empfiehlt Benutzern dringend, IP-Whitelisting für alle ihre API-Schlüssel zu verwenden, unabhängig von den Berechtigungen oder dem Zweck des API-Schlüssels. Beim IP-Whitelisting kann auf Ihren API-Schlüssel nur von einer bestimmten IP-Adresse aus zugegriffen werden. Dies verhindert, dass böswillige Akteure Ihren API-Schlüssel verwenden, wenn er kompromittiert wird. Daher müssen Sie alle IP-Adressen, die zur Verwendung Ihres API-Schlüssels verwendet werden, auf die Whitelist setzen.

Vorsicht vor Betrug

Obwohl API-Schlüssel nicht zum Initiieren von Pull-Anfragen verwendet werden können, ohne IPs auf die Whitelist zu setzen, müssen Sie Ihre API-Schlüssel schützen. Wenn Hacker Zugriff auf Ihre Schlüssel erhalten, können sie Vermögenswerte mit relativ geringem Handelsvolumen nutzen, um Geschäfte zu tätigen und Vermögenswerte langsam aus Ihrem Wallet abzuschöpfen. Indem Sie unerwünschte Vermögenswerte von Hacker-Konten kaufen und diese gegen Ihre Blue-Chip-Vermögenswerte (BTC, BNB usw.) eintauschen, werden Sie am Ende die Altcoins besitzen, die Sie nie kaufen wollten. Mit anderen Worten: Hacker können Ihren API-Schlüssel verwenden, um Ihre Vermögenswerte gegen ihre Vermögenswerte auf Märkten mit relativ geringer Liquidität einzutauschen.

Um solchen Betrug zu verhindern, hat Binance im Dezember 2022 eine Richtlinie zum automatischen Löschen von API-Schlüsseln eingeführt. Wenn Ihr API-Schlüssel keine IP-Adresse auf der Whitelist verwendet und 30 Tage lang inaktiv ist, wird er gelöscht. Um eine automatische Löschung zu vermeiden, sollten Sie Ihre IP auf die Whitelist setzen.

5. Verwenden Sie das RSA-Schlüsselpaar

Das RSA-Schlüsselpaar (Rivest-Shamir-Adleman) ist ein Mechanismus, der einen öffentlichen Schlüssel und einen privaten Schlüssel verwendet, um die Datenübertragung zu sichern.

Bei einem RSA-Schlüsselpaar muss der zum Erstellen der Signatur verwendete private Schlüssel nicht weitergegeben werden. Das bedeutet, dass andere keine authentischen Anfragen in Ihrem Namen initiieren können, solange der private Schlüssel geheim und sicher gehalten wird.

Binance unterstützt jetzt RSA-API-Schlüssel

Binance unterstützt jetzt RSA-API-Schlüssel. Sie können jetzt ein Paar aus öffentlichem RSA-Schlüssel und privatem Schlüssel erstellen, den öffentlichen Schlüssel bei Binance registrieren und den entsprechenden privaten Schlüssel verwenden, um signierte API-Anfragen zu stellen. 

Wie erstelle ich ein RSA-Schlüsselpaar auf Binance?

  1. Laden Sie die neueste Version des offiziellen RSA-Schlüsselgenerators herunter.

  1. Starten Sie die App. Sie können Schlüssel erstellen, kopieren oder speichern. Sie können auch die Größe Ihrer Tasten anpassen.

  1. Um Ihren RSA-Schlüssel über die Binance-App zu registrieren, gehen Sie zu [Profil] – [API-Verwaltung] – [API erstellen] – [API-Schlüssel erstellen].

  1. Kopieren Sie den öffentlichen Schlüssel vom RSA-Schlüsselgenerator und fügen Sie ihn dann zur Registrierung in das Feld ein.

  1. Geben Sie einen Namen für Ihren API-Schlüssel ein, klicken Sie auf [Weiter] und schließen Sie dann 2FA ab, um die Registrierung abzuschließen.

Weitere Informationen finden Sie in unserer Anleitung zum Erstellen eines RSA-Schlüsselpaars zum Senden von API-Anfragen auf Binance.

Weiterführende Literatur

  • (Ankündigung) Binance unterstützt jetzt RSA-API-Schlüssel (29.12.2022)

  • (Blog) So identifizieren und vermeiden Sie Betrug durch häufige Krypto-Betrüger

  • (Blog) Dienste zur Wiedereinziehung gefälschter Gelder: So vermeiden Sie diese Art von Betrug

  • (Blog) Wie man P2P-Betrug erkennt und vermeidet

  • (Blog) Betrüger erstellt ein KI-Hologramm von mir, um Krypto-Projekte zu betrügen