Kunci Antarmuka Pemrograman Aplikasi (API) dapat digunakan untuk memberikan akses terprogram ke data yang dibutuhkan oleh program tertentu — misalnya, untuk menyediakan data pasar bagi bot perdagangan.
Namun, kunci API dapat dibobol jika tidak dikelola secara tepat. Mempelajari cara menggunakan kunci API Anda secara aman sangat penting untuk mencegah aset Anda dibobol.
Binance kini mendukung dua pasangan kunci API asimetris (Ed25519 dan RSA) untuk meningkatkan keamanan. Ketahui cara untuk membuat dan menggunakannya.
Kunci API memungkinkan pengguna untuk mengakses data mereka secara mudah. Mulai dari pasangan kunci asimetris hingga whitelist kunci API, pelajari lima tips dari Binance untuk menjaga keamanan kunci API Anda.
Antarmuka pemrograman aplikasi (API) adalah cara yang efisien untuk memberikan akses data pengguna kepada program tertentu, sehingga memungkinkan program tersebut untuk bertindak atas nama pengguna. Dengan API, data dapat diambil dari Binance untuk berinteraksi dengan aplikasi eksternal sesuai kebutuhan. Namun, kunci API dapat menimbulkan kerentanan jika tidak disimpan dan digunakan secara tepat. Misalnya, pelaku jahat yang mencuri atau melakukan phishing kunci API korban mereka berpotensi mendapatkan akses ke dana korban.Pelajari cara menjaga keamanan aset Anda dengan lima tips keamanan kunci API dari kami.
Kunci rahasia (HMAC) dan kunci privat (Ed25519, RSA) dari kunci API Anda adalah data yang sangat sensitif. Jangan pernah membagikan kunci API kepada pihak ketiga. Dengan kunci rahasia API Anda, siapa pun dapat memulai permintaan API atas nama Anda tanpa terdeteksi oleh sistem pemantauan risiko kami.
Anda juga sebaiknya rutin memeriksa kunci API aktif di akun Anda melalui halaman pengelolaan API. Jika Anda mencurigai adanya masalah terhadap keamanan salah satu kunci API, segera ganti kunci tersebut. Ada baiknya juga untuk sering merotasi kunci API, seperti halnya beberapa sistem yang mewajibkan penggantian kata sandi setiap 30-90 hari — terlepas dari Anda menggunakannya secara aktif atau tidak.
Kunci API berguna bagi sejumlah tugas, seperti perdagangan otomatis, pemantauan posisi dan risiko, serta tujuan perpajakan. Oleh karena itu, Anda mungkin tergoda untuk mengaktifkan semua izin pada satu kunci API dan menggunakannya untuk berbagai tujuan, seperti perdagangan API dan kueri data. Namun, tindakan ini mengurangi keamanan kunci – jika kunci API Anda dibobol, peretas dapat memperoleh akses penuh ke akun dan dana Anda.
Akan lebih aman jika Anda menggunakan kunci API untuk satu aplikasi dan mengaktifkan izin yang diperlukan hanya untuk tujuan tersebut. Misalnya, jika Anda ingin memantau risiko perdagangan, melaporkan pajak, dan mengeksekusi perdagangan spot dan futures API, Anda harus membuat setidaknya empat kunci, masing-masing untuk salah satu tujuan berikut:
Perdagangan Spot
Perdagangan Futures:
Kueri Data Pajak
Kueri Data Perdagangan (izin hanya baca)
Di Binance, Anda dapat membuat hingga 30 kunci API untuk setiap sub-akun.
Seperti yang disebutkan, jika kunci API Anda jatuh ke tangan pelaku kejahatan, aset Anda mungkin akan dibobol. Sama seperti cara Anda melindungi kunci privat, jangan simpan detail API Anda dalam teks biasa. Sebaliknya, enkripsi atau gunakan pengelola rahasia tepercaya. Anda juga harus menghindari penggunaan solusi berbasis cloud untuk menyimpan kunci API Anda, karena mungkin rentan terhadap peretasan.
Anda juga disarankan untuk menghindari penyimpanan kunci API dalam kode sumber atau repositori aplikasi Anda. Jika Anda menggunakan Github atau SCM lainnya, kami merekomendasikan penggunaan pemindai rahasia seperti gitLeaks atau git-secrets untuk memastikan token dan rahasia lainnya yang digunakan oleh alat Anda tidak tersimpan di dalam repositori.
Pertimbangkan untuk menyimpan data kunci API Anda dalam file atau variabel lingkungan di luar sistem manajemen pihak ketiga yang sedang Anda gunakan untuk menghindari berbagi informasi pribadi Anda kepada mereka. Gunakan perlindungan passphrase tambahan untuk file kunci privat.
Kami sangat merekomendasikan pengguna untuk menggunakan whitelist IP pada semua kunci API mereka, terlepas dari izin atau tujuan kunci-kunci ini. Dengan whitelist IP, kunci API Anda hanya dapat diakses dari alamat IP spesifik. Ini mencegah pelaku kejahatan menggunakan kunci API Anda jika dibobol.
Meskipun kunci API tidak dapat digunakan untuk memulai permintaan penarikan tanpa melakukan whitelisting IP, ada cara lain untuk menyalahgunakannya. Jika peretas mendapatkan akses ke kunci Anda, peretas tersebut dapat menggunakan aset dengan volume perdagangan yang relatif kecil untuk memasang perdagangan dan secara perlahan menyedot aset dari dompet Anda. Dengan mengeksekusi pembelian aset yang tidak diinginkan dari akun peretas dan menukarnya dengan aset blue chip Anda (BTC, BNB, TUSD, dll.), Anda pada akhirnya harus membeli altcoin yang tidak pernah ingin Anda beli. Dengan kata lain, peretas dapat menggunakan kunci API Anda untuk menukar aset Anda dengan aset mereka di pasar yang memiliki likuiditas yang relatif rendah.
Untuk mencegah penipuan semacam itu, Binance telah mengimplementasikan kebijakan penghapusan kunci API otomatis. Jika kunci API Anda tidak menggunakan IP yang masuk whitelist dan tidak aktif selama 30 hari, kunci tersebut akan dihapus. Untuk menghindari penghapusan otomatis, Anda sebaiknya membuat whitelist IP.
Anda sebaiknya juga berhati-hati dalam menggunakan pustaka dan alat bantu pihak ketiga. Ada pustaka berbahaya yang secara khusus dirancang untuk mencuri kunci API. Selain pemindai virus dan malware, pertimbangkan juga untuk menggunakan alat software composition analysis (SCA) dan tinjau setiap pustaka pihak ketiga dengan cermat sebelum menggunakannya.
Pasangan kunci asimetris adalah mekanisme yang menggunakan kunci publik dan kunci privat untuk mengamankan transmisi data. Dengan pasangan kunci asimetris, kunci privat yang digunakan untuk membuat tanda tangan tidak perlu dibagikan. Artinya, selama kunci privat dirahasiakan dan aman, orang lain tidak dapat memulai permintaan autentik atas nama Anda.
Binance kini mendukung penggunaan kunci Ed25519 dan RSA (Rivest-Shamir-Adleman) untuk membuat permintaan API yang ditandatangani. Skema tanda tangan digital Ed25519 memberikan tingkat keamanan tinggi yang sebanding dengan kunci RSA 3072-bit, tetapi dengan tanda tangan yang jauh lebih kecil dan proses komputasi yang lebih cepat.
Anda kini dapat membuat pasangan kunci publik dan kunci privat Ed25519 dan RSA, mendaftarkan kunci publik di Binance, dan menggunakan kunci privat yang sesuai untuk membuat permintaan API yang ditandatangani.
Unduh versi terbaru dari Pembuat Kunci Asimetris resmi kami
Luncurkan aplikasi. Anda dapat membuat, menyalin, atau menyimpan kunci. Anda juga dapat menyesuaikan ukuran kunci Anda.
Untuk mendaftarkan kunci publik Anda melalui Aplikasi Binance, buka [Profil] -> [Manajemen API] -> [Buat API] -> [Kunci API Buatan Sendiri].
Salin kunci publik dari pembuat kunci asimetris, lalu tempelkan ke dalam kotak untuk didaftarkan.
Masukkan nama untuk kunci API Anda, klik [Berikutnya], lalu selesaikan 2FA untuk menyelesaikan pendaftaran.
Untuk mendapatkan detail selengkapnya, silakan lihat panduan kami tentang Cara Membuat Pasangan Kunci Ed25519 untuk Mengirim Permintaan API di Binance.
Membagikan Kunci API Anda: Jangan pernah bagikan kunci API Anda kepada pihak ketiga. Jika melakukannya, Anda dapat memungkinkan akses yang tidak sah ke akun Anda, sehingga Anda dapat kehilangan dana.
Mengaktifkan Izin yang Berlebihan: Hindari mengaktifkan semua izin pada satu kunci API. Gunakan kunci terpisah untuk tujuan yang berbeda demi meminimalkan risiko jika satu kunci dibobol.
Menyimpan Kunci API dengan Tidak Aman: Jangan simpan kunci API Anda dalam teks biasa atau dalam kode sumber aplikasi Anda. Gunakan enkripsi atau alat pengelola rahasia tepercaya untuk menjaga keamanannya.
Tidak Menggunakan Whitelisting IP: Selalu gunakan whitelist IP untuk membatasi akses ke kunci API Anda dari alamat IP tertentu, sehingga mencegah penggunaan yang tidak sah meskipun kunci dibobol.
Mengabaikan Pasangan Kunci Asimetris: Gunakan pasangan kunci asimetris (Ed25519 atau RSA) untuk membuat permintaan API yang ditandatangani, sehingga kunci privat Anda tetap aman.
Mengamankan kunci API Anda sangat penting untuk melindungi aset Anda dan memastikan interaksi yang aman dengan aplikasi eksternal. Dengan melakukan praktik terbaik, yaitu antara lain, tidak membagikan kunci API Anda, mengelola akses dengan cermat, menyimpan kunci secara aman, menggunakan whitelist IP, dan memanfaatkan pasangan kunci asimetris, Anda dapat secara signifikan mengurangi risiko akses tidak sah dan potensi hilangnya dana. Tetap waspada dan proaktif dalam mengelola kunci API Anda agar aset digital Anda selalu aman di Binance.
