Poin Utama
Kunci antarmuka pemrograman aplikasi (API) dapat digunakan untuk memberikan akses yang nyaman kepada program tertentu secara terprogram ke data yang mereka butuhkan – misalnya, menyediakan data pasar untuk bot perdagangan.
Namun, kunci API dapat dikompromikan jika tidak dikelola dengan baik. Mempelajari cara menggunakan kunci API Anda dengan aman sangat penting untuk mencegah aset Anda dari dikompromikan.
Binance sekarang mendukung dua pasangan kunci API asimetris (Ed25519 dan RSA) untuk peningkatan keamanan. Temukan cara untuk menghasilkan dan menggunakannya.
Kunci API memungkinkan pengguna untuk mengakses data mereka dengan nyaman. Dari pasangan kunci asimetris hingga daftar putih kunci API, pelajari lima tips dari Binance untuk menjaga kunci API Anda tetap aman.
Apa itu Kunci API?
Antarmuka pemrograman aplikasi (API) adalah cara yang efisien untuk memberikan akses tertentu kepada program ke data pengguna, memungkinkan mereka untuk bertindak atas nama pengguna. Dengan API, data dapat diambil dari Binance untuk berinteraksi dengan aplikasi eksternal sesuai kebutuhan. Namun, kunci API dapat membawa kerentanan jika tidak disimpan dan digunakan dengan benar. Misalnya, aktor jahat yang mencuri atau memancing kunci API dari korban mereka bisa mendapatkan akses ke dana mereka. Pelajari cara menjaga aset Anda tetap aman dengan lima tips keamanan kunci API kami.
Lima Tips untuk Mengamankan Kunci API Binance Anda
1. Jangan Bagikan Kunci API Anda dengan Orang Lain
Kunci rahasia API Anda (HMAC) dan kunci privat (Ed25519, RSA) adalah data yang sangat sensitif. Jangan pernah membagikan kunci API dengan pihak ketiga. Dengan kunci rahasia API Anda, siapa pun dapat memulai permintaan API atas nama Anda tanpa terdeteksi oleh sistem pemantauan risiko kami.
Anda juga harus sering memeriksa kunci API aktif di akun Anda melalui halaman manajemen API. Jika Anda mencurigai bahwa keamanan salah satu kunci API telah dikompromikan, segera ubah. Ini juga merupakan ide yang baik untuk sering memutar kunci API, mirip dengan bagaimana beberapa sistem mengharuskan kata sandi diubah setiap 30-90 hari – terlepas dari apakah Anda menggunakannya secara aktif atau tidak.
2. Hati-Hati dalam Manajemen Akses
Kunci API berguna untuk tugas-tugas seperti perdagangan otomatis, pemantauan posisi dan risiko, dan tujuan pajak. Oleh karena itu, mungkin tergoda untuk mengaktifkan semua izin pada satu kunci API dan menggunakannya untuk beberapa tujuan, seperti perdagangan API dan kueri data. Namun, ini mengurangi keamanan kunci – jika kunci API Anda dikompromikan, seorang peretas bisa mendapatkan akses penuh ke akun dan dana Anda.
Lebih aman menggunakan kunci API untuk satu aplikasi dan mengaktifkan izin yang diperlukan untuk tujuan itu saja. Misalnya, jika Anda ingin memantau risiko perdagangan, melaporkan pajak, dan mengeksekusi perdagangan spot dan berjangka API, Anda harus membuat setidaknya empat kunci, satu untuk masing-masing tujuan berikut:
Perdagangan Spot
Perdagangan Berjangka
Kuota Data Pajak
Kuota Data Perdagangan (izin baca saja)
Di Binance, Anda dapat membuat hingga 30 kunci API untuk setiap sub-akun.
3. Simpan Data Kunci API Anda dengan Aman
Seperti yang disebutkan, jika kunci API Anda jatuh ke tangan aktor jahat, aset Anda mungkin akan dikompromikan. Sama seperti bagaimana Anda akan melindungi kunci privat Anda, jangan menyimpan detail API Anda dalam teks biasa. Sebaliknya, enkripsi atau gunakan manajer rahasia yang tepercaya. Anda juga harus menghindari menggunakan solusi berbasis cloud untuk menyimpan kunci API Anda, karena mungkin rentan terhadap peretasan.
Sangat disarankan juga untuk menghindari menyimpan kunci API Anda di dalam kode sumber atau repositori aplikasi Anda. Jika Anda menggunakan Github atau SCM lainnya, kami merekomendasikan menggunakan pemindai rahasia seperti gitLeaks atau git-secrets untuk memastikan bahwa token dan rahasia lain yang digunakan oleh alat Anda tidak tersimpan di repositori.
Pertimbangkan untuk menyimpan data kunci API Anda di file atau variabel lingkungan di luar sistem manajemen pihak ketiga yang Anda gunakan untuk menghindari berbagi informasi pribadi Anda dengan mereka. Gunakan perlindungan frasa sandi tambahan untuk file kunci privat.
4. Gunakan Daftar Putih IP
Kami sangat merekomendasikan agar pengguna menggunakan daftar putih IP di semua kunci API mereka, terlepas dari izin atau tujuan kunci tersebut. Dengan daftar putih IP, kunci API Anda hanya dapat diakses dari alamat IP tertentu. Ini mencegah aktor jahat menggunakan kunci API Anda jika mereka dikompromikan.
Meskipun kunci API tidak dapat digunakan untuk menginisiasi permintaan penarikan tanpa daftar putih IP, ada cara lain di mana kunci tersebut dapat disalahgunakan. Jika seorang peretas mendapatkan akses ke kunci Anda, mereka dapat menggunakan aset dengan volume perdagangan yang relatif kecil untuk perdagangan pasangan dan perlahan-lahan mengalirkan aset dari dompet Anda. Melakukan pembelian aset yang tidak diinginkan dari akun peretas dan memperdagangkannya dengan aset blue chip Anda (BTC, BNB, TUSD, dll.) pada akhirnya akan meninggalkan Anda dengan altcoin yang tidak pernah Anda niatkan untuk dibeli. Dengan kata lain, peretas dapat menggunakan kunci API Anda untuk memperdagangkan aset Anda melawan aset mereka di pasar yang memiliki likuiditas relatif rendah.
Untuk mencegah penipuan semacam itu, Binance telah menerapkan kebijakan penghapusan otomatis kunci API. Jika kunci API Anda tidak terdaftar dalam daftar putih IP dan tidak aktif selama 30 hari, itu akan dihapus. Untuk menghindari penghapusan otomatis, Anda harus membuat daftar putih IP Anda.
Kami juga merekomendasikan untuk berhati-hati dalam penggunaan pustaka dan alat pihak ketiga. Ada pustaka jahat yang dirancang khusus untuk mengeksfiltrasi kunci API. Selain pemindai virus dan malware, pertimbangkan untuk menggunakan alat analisis komposisi perangkat lunak (SCA) dan meninjau pustaka pihak ketiga dengan hati-hati sebelum menyertakannya.
5. Gunakan Pasangan Kunci Asimetris
Sepasang kunci asimetris adalah mekanisme yang menggunakan kunci publik dan privat untuk mengamankan transmisi data. Dengan sepasang kunci asimetris, kunci privat yang digunakan untuk membuat tanda tangan tidak perlu dibagikan. Ini berarti bahwa selama kunci privat disimpan dengan rahasia dan aman, tidak ada orang lain yang dapat memulai permintaan yang sah atas nama Anda.
Binance sekarang mendukung penggunaan kunci Ed25519 dan RSA (Rivest-Shamir-Adleman) untuk membuat permintaan API yang ditandatangani. Skema tanda tangan digital Ed25519 menyediakan tingkat keamanan yang tinggi yang sebanding dengan kunci RSA 3072-bit sambil memiliki tanda tangan yang jauh lebih kecil yang lebih cepat dihitung.
Cara Menghasilkan Kunci API di Binance
Anda sekarang dapat membuat pasangan kunci publik dan privat Ed25519 dan RSA, mendaftarkan kunci publik di Binance, dan menggunakan kunci privat yang sesuai untuk membuat permintaan API yang ditandatangani.
Panduan Langkah-Demi-Langkah untuk Membuat Pasangan Kunci Asimetris
Unduh versi terbaru dari Generator Kunci Asimetris resmi kami
Luncurkan aplikasi. Anda dapat menghasilkan, menyalin, atau menyimpan kunci. Anda juga dapat menyesuaikan ukuran kunci Anda.
Untuk mendaftarkan kunci publik Anda melalui Aplikasi Binance, pergi ke [Profil] -> [Manajemen API] -> [Buat API] -> [Kunci API yang dihasilkan sendiri].
Salin kunci publik dari generator kunci asimetris dan tempelkan ke dalam kotak untuk mendaftar.
Masukkan nama untuk kunci API Anda, klik [Berikutnya], dan selesaikan 2FA untuk menyelesaikan pendaftaran.
Untuk informasi lebih lanjut, silakan merujuk pada panduan kami tentang Cara Menghasilkan Pasangan Kunci Ed25519 untuk Mengirim Permintaan API di Binance.
5 Kesalahan Keamanan Kunci API Umum yang Harus Dihindari
Berbagi Kunci API Anda: Jangan pernah berbagi kunci API Anda dengan pihak ketiga. Melakukannya dapat memungkinkan akses tidak sah ke akun Anda, yang dapat menyebabkan kehilangan dana.
Mengaktifkan Izin Berlebihan: Hindari mengaktifkan semua izin pada satu kunci API. Gunakan kunci terpisah untuk tujuan yang berbeda untuk meminimalkan risiko jika satu kunci dikompromikan.
Menyimpan Kunci API dengan Tidak Aman: Jangan menyimpan kunci API Anda dalam teks biasa atau di dalam kode sumber aplikasi Anda. Gunakan enkripsi atau manajer rahasia tepercaya untuk menjaga keamanannya.
Tidak Menggunakan Daftar Putih IP: Selalu gunakan daftar putih IP untuk membatasi akses ke kunci API Anda dari alamat IP tertentu, mencegah penggunaan tidak sah meskipun kunci tersebut telah dikompromikan.
Mengabaikan Pasangan Kunci Asimetris: Gunakan pasangan kunci asimetris (Ed25519 atau RSA) untuk membuat permintaan API yang ditandatangani, memastikan bahwa kunci privat Anda tetap aman.
Pikiran Akhir
Mengamankan kunci API Anda sangat penting untuk melindungi aset Anda dan memastikan interaksi yang aman dengan aplikasi eksternal. Dengan mengikuti praktik terbaik seperti tidak membagikan kunci API Anda, mengelola akses dengan hati-hati, menyimpan kunci dengan aman, menggunakan daftar putih IP, dan memanfaatkan pasangan kunci asimetris, Anda dapat secara signifikan mengurangi risiko akses tidak sah dan potensi kehilangan dana. Tetap waspada dan proaktif dalam mengelola kunci API Anda untuk selalu menjaga aset digital Anda aman di Binance.
Bacaan Lebih Lanjut
Cara Mengidentifikasi dan Menghindari Penipuan Kripto Palsu
Layanan Pemulihan Palsu: Cara Tidak Terjebak dalam Penipuan Dua Kali
Cara Mengenali dan Menghindari Penipuan P2P dan Penipuan