Il punto principale

  • Le chiavi API (Application Programming Interface) possono essere utilizzate per fornire un facile accesso ai dati utente per determinati programmi.

  • Tuttavia, le chiavi API possono essere compromesse se non gestite correttamente. Imparare a utilizzare le chiavi API in modo sicuro è fondamentale per evitare che le tue risorse vengano compromesse.

  • Binance ora supporta coppie di chiavi API RSA per una maggiore sicurezza. Scopri come crearlo e utilizzarlo.

Le chiavi API consentono agli utenti di accedere facilmente ai propri dati. Dalle coppie di chiavi RSA alle whitelist delle chiavi API, scopri cinque suggerimenti da Binance per mantenere le tue chiavi API al sicuro.

Le chiavi API (Application Programming Interface) rappresentano un modo efficace per fornire l'accesso ai dati utente affinché determinati programmi agiscano per conto dell'utente. Tuttavia, le chiavi API possono introdurre vulnerabilità se non archiviate e utilizzate correttamente. Ad esempio, un utente malintenzionato che ruba o esegue phishing la chiave API della vittima potrebbe potenzialmente ottenere l'accesso ai fondi della vittima. Scopri come proteggere le tue risorse con i nostri cinque suggerimenti sulla sicurezza delle chiavi API.

1. Non condividere le tue chiavi con altri

La chiave segreta (HMAC) e la chiave privata (RSA) della tua chiave API sono dati altamente sensibili. Si consiglia vivamente di non divulgare queste informazioni. Con quella chiave, chiunque può avviare richieste API per tuo conto senza essere rilevato dai nostri sistemi di monitoraggio dei rischi.

Dovresti anche controllare frequentemente le chiavi API attive nel tuo account tramite la pagina di gestione API. Se sospetti che la sicurezza di una chiave API sia stata compromessa, non esitare a eliminarla e sostituirla con una nuova. È anche una buona idea eliminare frequentemente le vecchie chiavi API e sostituirle con quelle nuove, in modo simile ad alcuni sistemi che richiedono la modifica delle password ogni 30-90 giorni, indipendentemente dal fatto che tu le stia utilizzando attivamente o meno.

2. Sii diligente nella gestione degli accessi

Le chiavi API sono uno strumento utile per il trading automatizzato, il monitoraggio della posizione e del rischio e le tasse. Pertanto, potresti essere tentato di abilitare tutte le autorizzazioni per una singola chiave API da utilizzare per più scopi, come lo scambio di API e l'interrogazione dei dati. Tuttavia, ciò riduce la sicurezza della chiave: se la tua chiave API viene compromessa, gli hacker possono ottenere pieno accesso al tuo account e ai tuoi fondi.

Sei più sicuro utilizzando una chiave API per una singola app e abilitando le autorizzazioni richieste solo a tale scopo. Ad esempio, se desideri monitorare il rischio di trading, segnalare le tasse ed eseguire operazioni API Spot e Futures, devi creare almeno quattro chiavi, ciascuna per uno dei seguenti scopi:

  1. Commercio a pronti

  2. Negoziazione di futures

  3. Interrogazione dati fiscali

  4. Interrogazione dati di trading (permesso di sola lettura)

Su Binance puoi creare fino a 30 chiavi API per ciascun sottoconto.

3. Archivia i dati della tua chiave API in modo sicuro

Come accennato in precedenza, se la tua chiave API cade nelle mani di un criminale, le tue risorse potrebbero essere compromesse. Proprio come proteggi le chiavi private, non memorizzare i dettagli API in testo semplice. Crittografa invece o utilizza un gestore di segreti attendibile. Dovresti anche evitare di utilizzare soluzioni basate su cloud per archiviare le tue chiavi API, poiché potrebbero essere vulnerabili agli attacchi di hacking.

Ti consigliamo inoltre di non archiviare la chiave API nel codice sorgente o nel repository dell'applicazione. 

Valuta la possibilità di archiviare i dati della tua chiave API in file o variabili di ambiente al di fuori dei sistemi di gestione di terze parti che utilizzi per evitare di condividere con loro le tue informazioni personali.

Poiché le chiavi private RSA supportano la protezione tramite password, gli utenti che utilizzano le chiavi RSA devono aggiungere una password a qualsiasi chiave privata RSA di loro proprietà.

4. Utilizza la lista bianca IP

Binance consiglia vivamente agli utenti di utilizzare la whitelist IP su tutte le loro chiavi API, indipendentemente dalle autorizzazioni o dallo scopo della chiave API. Con la whitelist IP, è possibile accedere alla tua chiave API solo da un indirizzo IP specifico. Ciò impedisce ad autori malintenzionati di utilizzare la tua chiave API se è compromessa. Pertanto, devi inserire nella whitelist tutti gli indirizzi IP utilizzati per utilizzare la chiave API.

Attenzione alle frodi

Sebbene le chiavi API non possano essere utilizzate per avviare richieste pull senza inserire gli IP nella whitelist, è necessario proteggere le chiavi API. Se gli hacker riescono ad accedere alle tue chiavi, possono utilizzare risorse con volumi di scambio relativamente piccoli per effettuare operazioni e sottrarre lentamente risorse dal tuo portafoglio. Eseguendo acquisti di asset indesiderati da account hacker e scambiandoli con asset blue chip (BTC, BNB, ecc.), finirai per possedere le altcoin che non avresti mai voluto acquistare. In altre parole, gli hacker possono utilizzare la tua chiave API per scambiare i tuoi asset con i loro asset in mercati che hanno una liquidità relativamente bassa.

Per prevenire tali frodi, Binance ha implementato una politica di eliminazione automatica della chiave API nel dicembre 2022. Se la tua chiave API non utilizza un IP inserito nella whitelist ed è inattiva per 30 giorni, verrà eliminata. Per evitare la cancellazione automatica, dovresti inserire nella whitelist il tuo IP.

5. Utilizzare la coppia di chiavi RSA

La coppia di chiavi RSA (Rivest-Shamir-Adleman) è un meccanismo che utilizza una chiave pubblica e una chiave privata per proteggere la trasmissione dei dati.

Con una coppia di chiavi RSA, non è necessario condividere la chiave privata utilizzata per creare la firma. Ciò significa che finché la chiave privata viene mantenuta segreta e sicura, altri non possono avviare richieste autentiche per tuo conto.

Binance ora supporta le chiavi API RSA

Binance ora supporta le chiavi API RSA. Ora puoi creare una coppia di chiave pubblica e chiave privata RSA, registrare la chiave pubblica su Binance e utilizzare la chiave privata corrispondente per effettuare richieste API firmate. 

Come creare una coppia di chiavi RSA su Binance?

  1. Scarica l'ultima versione del generatore di chiavi RSA ufficiale.

  1. Avvia l'app. È possibile creare, copiare o salvare le chiavi. Puoi anche personalizzare la dimensione delle tue chiavi.

  1. Per registrare la tua chiave RSA tramite l'app Binance, vai su [Profilo] - [Gestione API] - [Crea API] - [Crea chiave API].

  1. Copia la chiave pubblica dal generatore di chiavi RSA, quindi incollala nella casella per registrarti.

  1. Inserisci un nome per la chiave API, fai clic su [Avanti], quindi completa 2FA per completare la registrazione.

Per maggiori dettagli, consulta la nostra guida su Come creare una coppia di chiavi RSA per inviare richieste API su Binance.

Ulteriori letture

  • (Annuncio) Binance ora supporta le chiavi API RSA (2022-12-29)

  • (Blog) Come identificare ed evitare le truffe dei comuni truffatori di criptovalute

  • (Blog) Servizi di recupero fondi falsi: come evitare questo tipo di truffa

  • (Blog) Come riconoscere ed evitare le frodi P2P

  • (Blog) Il truffatore crea un mio ologramma AI per frodare progetti crittografici