Punti principali
Le chiavi API (Application Programming Interface) possono essere utilizzate per garantire a determinati programmi un accesso conveniente ai dati dell'utente.
Tuttavia, le chiavi API possono essere compromesse se non gestite correttamente. Imparare a utilizzare le chiavi API in modo sicuro è essenziale per evitare che le tue risorse vengano compromesse.
Binance ora supporta coppie di chiavi API RSA per una maggiore sicurezza. Scopri come generarli e utilizzarli.
Le chiavi API consentono agli utenti di accedere comodamente ai propri dati. Dalle coppie di chiavi RSA alle whitelist di chiavi IP, scopri cinque suggerimenti da Binance per mantenere le tue chiavi API al sicuro.
Cos'è una chiave API?
Le interfacce di programmazione delle applicazioni (API) sono un modo efficiente per concedere a determinati programmi l'accesso ai dati degli utenti, consentendo loro di agire per conto dell'utente. Con le API, i dati possono essere estratti da Binance per interagire con applicazioni esterne secondo necessità. Tuttavia, le chiavi API possono comportare vulnerabilità se non vengono archiviate e utilizzate correttamente. Ad esempio, attori malintenzionati che rubano o phishingano le chiavi API delle loro vittime potrebbero potenzialmente ottenere accesso ai loro fondi. Impara a mantenere i tuoi beni al sicuro con i nostri cinque suggerimenti sulla sicurezza delle chiavi API.
Cinque suggerimenti per proteggere le tue chiavi API di Binance
1. Non condividere la tua chiave API con altri
La chiave segreta della tua API (HMAC) e la chiave privata (Ed25519, RSA) sono dati altamente sensibili. Non condividere mai le chiavi API con terze parti. Con la chiave segreta della tua API, chiunque può avviare una richiesta API per tuo conto senza essere rilevato dal nostro sistema di monitoraggio del rischio.
Dovresti anche controllare frequentemente le chiavi API attive sul tuo account tramite la pagina di gestione API. Se sospetti che la sicurezza di una qualsiasi chiave API sia compromessa, cambiala immediatamente. È anche una buona idea ruotare frequentemente le chiavi API, simile a come alcuni sistemi richiedono la modifica delle password ogni 30-90 giorni, indipendentemente dal fatto che tu le utilizzi attivamente o meno.
2. Essere diligenti nella gestione degli accessi
Le chiavi API sono utili per compiti come trading automatizzato, monitoraggio della posizione e del rischio e scopi fiscali. Pertanto, potrebbe essere allettante abilitare tutti i permessi su una singola chiave API e utilizzarla per più scopi, come trading API e query di dati. Tuttavia, questo riduce la sicurezza della chiave: se la tua chiave API viene compromessa, un hacker potrebbe ottenere accesso completo al tuo account e ai tuoi fondi.
È più sicuro utilizzare una chiave API per un'applicazione singola e abilitare solo i permessi richiesti per quel fine. Ad esempio, se desideri monitorare il rischio di trading, segnalare le tasse e eseguire trading di spot e futures API, dovresti creare almeno quattro chiavi, una per ciascuno dei seguenti scopi:
Trading di Spot
Trading di Futures
Query di Dati Fiscali
Query di Dati di Trading (permesso di sola lettura)
Su Binance, puoi creare fino a 30 chiavi API per ogni sotto-account.
3. Archivia i dati della tua chiave API in modo sicuro
Come accennato, se le tue chiavi API cadono nelle mani di un attore malintenzionato, i tuoi beni potrebbero essere compromessi. Proprio come proteggeresti le tue chiavi private, non conservare i dettagli della tua API in testo semplice. Invece, crittografali o usa un gestore di segreti fidato. Dovresti anche evitare di utilizzare soluzioni basate su cloud per mantenere le tue chiavi API, poiché potrebbero essere vulnerabili agli attacchi.
È anche consigliabile evitare di conservare le tue chiavi API all'interno del codice sorgente o del repository della tua applicazione. Se stai utilizzando Github o qualsiasi altro SCM, ti consigliamo di utilizzare scanner di segreti come gitLeaks o git-secrets per garantire che il tuo token e altri segreti utilizzati dai tuoi strumenti non persistano nel repository.
Considera di archiviare i dati della tua chiave API in file o variabili di ambiente al di fuori del sistema di gestione di terze parti che stai utilizzando per evitare di condividere le tue informazioni private con loro. Usa una protezione aggiuntiva con frase di accesso per i file della chiave privata.
4. Utilizza una whitelist IP
Ti raccomandiamo vivamente di utilizzare una whitelist IP su tutte le tue chiavi API, indipendentemente dai permessi o dagli scopi di queste chiavi. Con una whitelist IP, le tue chiavi API possono essere accessibili solo da indirizzi IP specifici. Questo impedisce agli attori malintenzionati di utilizzare le tue chiavi API nel caso in cui vengano compromesse.
Sebbene una chiave API non possa essere utilizzata per avviare richieste di prelievo senza whitelist IP, ci sono altri modi in cui le chiavi possono essere abusate. Se un hacker ottiene accesso alle tue chiavi, potrebbe utilizzare asset con un volume di trading relativamente basso per fare trading in coppia e lentamente svuotare gli asset dal tuo portafoglio. Eseguire acquisti di asset indesiderati dall'account dell'hacker e scambiarli con i tuoi asset blue chip (BTC, BNB, TUSD, ecc.) ti lascerà eventualmente con altcoin che non intendevi acquistare. In altre parole, l'hacker può utilizzare le tue chiavi API per scambiare i tuoi asset contro i loro asset in un mercato che ha una liquidità relativamente bassa.
Per prevenire tali truffe, Binance ha implementato una politica di cancellazione automatica delle chiavi API. Se la tua chiave API non è IP whitelistata e inattiva per 30 giorni, verrà cancellata. Per evitare la cancellazione automatica, dovresti creare la tua whitelist IP.
Ti consigliamo inoltre di essere diligente nell'uso di librerie e strumenti di terze parti. Esistono librerie malevole progettate specificamente per estrarre chiavi API. Oltre a scanner di virus e malware, considera di utilizzare uno strumento di analisi della composizione del software (SCA) e rivedere attentamente le librerie di terze parti prima di includerle.
5. Utilizza coppie di chiavi asimmetriche
Una coppia di chiavi asimmetriche è un meccanismo che utilizza chiavi pubbliche e private per garantire la trasmissione sicura dei dati. Con una coppia di chiavi asimmetriche, la chiave privata utilizzata per creare firme non deve essere condivisa. Ciò significa che finché la chiave privata è mantenuta segreta e sicura, nessun altro può avviare una richiesta autentica a tuo nome.
Binance ora supporta l'uso di chiavi Ed25519 e RSA (Rivest-Shamir-Adleman) per creare richieste API firmate. Lo schema di firma digitale Ed25519 fornisce un alto grado di sicurezza paragonabile a chiavi RSA da 3072 bit, pur avendo firme molto più piccole che sono più veloci da calcolare.
Come generare una chiave API su Binance
Ora puoi creare coppie di chiavi pubbliche e private Ed25519 e RSA, registrare le chiavi pubbliche su Binance e utilizzare la chiave privata corrispondente per creare richieste API firmate.
Guida passo-passo per creare una coppia di chiavi asimmetriche
Scarica l'ultima versione del nostro Generatore di Chiavi Asimmetriche ufficiale
Avvia l'applicazione. Puoi generare, copiare o salvare chiavi. Puoi anche regolare la dimensione della tua chiave.
Per registrare la tua chiave pubblica tramite l'app Binance, vai su [Profilo] -> [Gestione API] -> [Crea API] -> [Chiave API autogenerata].
Copia la chiave pubblica dal generatore di chiavi asimmetriche e incollala nella casella per registrarla.
Inserisci un nome per la tua chiave API, clicca [Avanti] e completa la 2FA per completare la registrazione.
Per ulteriori dettagli, ti preghiamo di fare riferimento alla nostra guida su come generare una coppia di chiavi Ed25519 per inviare richieste API su Binance.
5 errori comuni di sicurezza delle chiavi API da evitare
Condivisione della tua chiave API: Non condividere mai le tue chiavi API con terze parti. Farlo può consentire accessi non autorizzati al tuo account, portando a possibili perdite di fondi.
Abilitazione di permessi eccessivi: Evita di abilitare tutti i permessi su una singola chiave API. Usa chiavi separate per scopi diversi per minimizzare il rischio se una chiave viene compromessa.
Archiviazione delle chiavi API in modo insicuro: Non conservare le tue chiavi API in testo semplice o all'interno del codice sorgente della tua applicazione. Usa la crittografia o gestori di segreti fidati per mantenerle sicure.
Non utilizzare la whitelist IP: Utilizza sempre una whitelist IP per limitare l'accesso alle tue chiavi API da indirizzi IP specifici, prevenendo usi non autorizzati anche se le chiavi sono compromesse.
Negligenza delle coppie di chiavi asimmetriche: Utilizza coppie di chiavi asimmetriche (Ed25519 o RSA) per creare richieste API firmate, assicurandoti che la tua chiave privata rimanga sicura.
Riflessioni finali
Proteggere le tue chiavi API è fondamentale per proteggere i tuoi beni e garantire interazioni sicure con applicazioni esterne. Seguendo le migliori pratiche, come non condividere le tue chiavi API, gestire l'accesso in modo diligente, archiviare le chiavi in modo sicuro, utilizzare whitelist IP e sfruttare le coppie di chiavi asimmetriche, puoi ridurre significativamente il rischio di accessi non autorizzati e potenziali perdite di fondi. Rimani vigile e proattivo nella gestione delle tue chiavi API per mantenere sempre al sicuro i tuoi beni digitali su Binance.
Ulteriori letture
Come identificare ed evitare comuni truffe di impostori nel settore crypto
Servizi di recupero fraudolenti: Come non cadere due volte in una truffa
Come riconoscere ed evitare truffe e frodi P2P