Como usar uma chave API com segurança: 5 dicas da Binance

Principais conclusõesAs chaves da Interface de Programação de Aplicativo (API) podem ser usadas para conceder a determinados programas acesso conveniente aos dados do usuário.
No entanto, as chaves de API podem ser comprometidas se não forem gerenciadas adequadamente. Aprender como usar suas chaves de API com segurança é essencial para evitar que seus ativos sejam comprometidos.
A Binance agora oferece suporte a pares de chaves API RSA para maior segurança. Descubra como gerá-los e usá-los.
As chaves de API permitem que os usuários acessem seus dados de maneira conveniente. De pares de chaves RSA a listas de permissões de chaves IP, aprenda cinco dicas da Binance para manter suas chaves API seguras.
O que é uma Chave de API?As interfaces de programação de aplicativos (APIs) são uma maneira eficiente de conceder a certos programas acesso a dados do usuário, permitindo que eles atuem em nome do usuário. Com APIs, os dados podem ser extraídos da Binance para interagir com aplicativos externos conforme necessário. No entanto, as chaves de API podem trazer vulnerabilidades se não forem armazenadas e usadas corretamente. Por exemplo, atores maliciosos que roubam ou pescam as chaves de API de suas vítimas podem potencialmente obter acesso a seus fundos. Aprenda a manter seus ativos seguros com nossas cinco dicas de segurança para chaves de API.
Cinco Dicas para Proteger suas Chaves de API da Binance1. Não Compartilhe Sua Chave de API com OutrosA chave secreta da sua API (HMAC) e a chave privada (Ed25519, RSA) são dados altamente sensíveis. Nunca compartilhe as chaves da API com terceiros. Com a chave secreta da sua API, qualquer um pode iniciar uma solicitação de API em seu nome sem ser detectado pelo nosso sistema de monitoramento de risco.
Você também deve verificar frequentemente as chaves de API ativas em sua conta na página de gerenciamento de API. Se suspeitar que a segurança de qualquer chave de API foi comprometida, altere-as imediatamente. Também é uma boa ideia rotacionar frequentemente as chaves de API, semelhante a como alguns sistemas exigem que senhas sejam alteradas a cada 30-90 dias - independentemente de você usá-las ativamente ou não.
2. Seja Diligente na Gestão de AcessosAs chaves de API são úteis para tarefas como negociação automatizada, monitoramento de posições e riscos e fins fiscais. Portanto, pode ser tentador habilitar todas as permissões em uma única chave de API e usá-la para múltiplos propósitos, como negociação de API e consultas de dados. No entanto, isso reduz a segurança da chave - se sua chave de API for comprometida, um hacker pode obter acesso completo à sua conta e fundos.
É mais seguro usar uma chave de API para um único aplicativo e habilitar apenas as permissões necessárias para esse propósito. Por exemplo, se você deseja monitorar o risco de negociação, reportar impostos e executar negociações de API à vista e futuros, deve criar pelo menos quatro chaves, uma para cada um dos seguintes propósitos: 
Negociação à Vista
Negociação de Futuros
Consulta de Dados Fiscais
Consulta de Dados de Negociação (permissão somente leitura)
Na Binance, você pode criar até 30 chaves de API para cada subconta.
3. Armazene Seus Dados de Chave de API com SegurançaComo mencionado, se suas chaves de API caírem nas mãos de um ator malicioso, seus ativos podem ser comprometidos. Assim como você protegeria suas chaves privadas, não armazene os detalhes da sua API em texto simples. Em vez disso, criptografe ou use um gerenciador de segredos confiável. Você também deve evitar usar soluções baseadas em nuvem para manter suas chaves de API, pois podem ser vulneráveis a hacks.
Também é aconselhável evitar armazenar suas chaves de API dentro do código fonte ou repositório do seu aplicativo. Se você estiver usando o Github ou qualquer outro SCM, recomendamos usar scanners de segredos como gitLeaks ou git-secrets para garantir que seu token e outros segredos usados por suas ferramentas não persistam no repositório.
Considere armazenar os dados da sua chave de API em arquivos ou variáveis de ambiente fora do sistema de gerenciamento de terceiros que você está usando para evitar compartilhar suas informações privadas com eles. Use proteção adicional de frase-secreta para os arquivos de chave privada.
4. Use uma Lista de IPsRecomendamos fortemente que os usuários utilizem uma lista de IPs em todas as suas chaves de API, independentemente das permissões ou propósitos dessas chaves. Com uma lista de IPs, suas chaves de API só podem ser acessadas a partir de endereços IP específicos. Isso impede que atores maliciosos usem suas chaves de API no caso de serem comprometidas.
Embora uma chave de API não possa ser usada para iniciar solicitações de retirada sem listagem de IPs, existem outras maneiras pelas quais as chaves podem ser abusadas. Se um hacker obtiver acesso às suas chaves, ele poderá usar ativos com um volume de negociação relativamente pequeno para negociar pares e lentamente drenar ativos de sua carteira. Executar compras de ativos indesejados da conta do hacker e negociar com seus ativos de primeira linha (BTC, BNB, TUSD, etc.) acabará deixando você com altcoins que nunca teve a intenção de comprar. Em outras palavras, o hacker pode usar suas chaves de API para negociar seus ativos contra os ativos deles em um mercado que tem liquidez relativamente baixa.
Para evitar tais golpes, a Binance implementou uma política de exclusão automática de chaves de API. Se sua chave de API não estiver listada por IP e inativa por 30 dias, será excluída. Para evitar exclusão automática, você deve criar sua lista de IPs.
Também recomendamos ser diligente no uso de bibliotecas e ferramentas de terceiros. Existem bibliotecas maliciosas especificamente projetadas para exfiltrar chaves de API. Além de scanners de vírus e malware, considere usar uma ferramenta de análise de composição de software (SCA) e revise cuidadosamente bibliotecas de terceiros antes de incluí-las.
5. Use Pares de Chaves AssimétricasUm par de chaves assimétricas é um mecanismo que utiliza chaves públicas e privadas para proteger a transmissão de dados. Com um par de chaves assimétricas, a chave privada usada para criar assinaturas não precisa ser compartilhada. Isso significa que, enquanto a chave privada for mantida em segredo e segura, ninguém mais pode iniciar uma solicitação autêntica em seu nome.
A Binance agora suporta o uso de chaves Ed25519 e RSA (Rivest-Shamir-Adleman) para criar solicitações de API assinadas. O esquema de assinatura digital Ed25519 oferece um alto grau de segurança comparável a chaves RSA de 3072 bits, enquanto possui assinaturas muito menores que são mais rápidas de calcular.
Como Gerar uma Chave de API na BinanceAgora você pode criar pares de chaves públicas e privadas Ed25519 e RSA, registrar as chaves públicas na Binance e usar a chave privada correspondente para criar solicitações de API assinadas.
Guia Passo a Passo para Criar um Par de Chaves AssimétricasBaixe a versão mais recente do nosso Gerador de Chaves Assimétricas oficial
Inicie o aplicativo. Você pode gerar, copiar ou salvar chaves. Você também pode ajustar o tamanho da sua chave.
Para registrar sua chave pública através do aplicativo Binance, vá para [Perfil] -> [Gerenciamento de API] -> [Criar API] -> [Chave de API auto-gerada].
Copie a chave pública do gerador de chaves assimétricas e cole-a na caixa para registrar.
Digite um nome para sua chave de API, clique em [Próximo] e complete a 2FA para concluir o registro.
Para mais detalhes, consulte nosso guia sobre Como Gerar um Par de Chaves Ed25519 para Enviar Solicitações de API na Binance.
5 Erros Comuns de Segurança de Chaves de API a EvitarCompartilhando Sua Chave de API: Nunca compartilhe suas chaves de API com terceiros. Fazer isso pode permitir acesso não autorizado à sua conta, levando à possível perda de fundos.
Habilitando Permissões Excessivas: Evite habilitar todas as permissões em uma única chave de API. Use chaves separadas para diferentes propósitos para minimizar o risco se uma chave for comprometida.
Armazenando Chaves de API de Forma Insegura: Não armazene suas chaves de API em texto simples ou dentro do código fonte do seu aplicativo. Use criptografia ou gerenciadores de segredos confiáveis para mantê-las seguras.
Não Usando Listagem de IPs: Sempre use uma lista de IPs para restringir o acesso às suas chaves de API a partir de endereços IP específicos, evitando o uso não autorizado mesmo que as chaves sejam comprometidas.
Negligenciando Pares de Chaves Assimétricas: Utilize pares de chaves assimétricas (Ed25519 ou RSA) para criar solicitações de API assinadas, garantindo que sua chave privada permaneça segura.
Considerações FinaisProteger suas chaves de API é crucial para proteger seus ativos e garantir interações seguras com aplicativos externos. Ao seguir as melhores práticas, como não compartilhar suas chaves de API, gerenciar acessos com diligência, armazenar chaves com segurança, usar listas de IP e aproveitar pares de chaves assimétricas, você pode reduzir significativamente o risco de acesso não autorizado e a possível perda de fundos. Mantenha-se vigilante e proativo na gestão de suas chaves de API para manter seus ativos digitais seguros na Binance.
Leitura AdicionalComo Identificar e Evitar Golpes Comuns de Impostores em Cripto
Serviços de Recuperação Fraudulentos: Como Não Cair em um Golpe Duas Vezes
Como Identificar e Evitar Golpes e Fraudes P2P
.css-1iqe90x{box-sizing:border-box;margin:0;min-width:0;color:#EAECEF;}Principais conclusões

O que é uma Chave de API?

Cinco Dicas para Proteger suas Chaves de API da Binance

1. Não Compartilhe Sua Chave de API com Outros

2. Seja Diligente na Gestão de Acessos

3. Armazene Seus Dados de Chave de API com Segurança

4. Use uma Lista de IPs

5. Use Pares de Chaves Assimétricas

Como Gerar uma Chave de API na Binance

Guia Passo a Passo para Criar um Par de Chaves Assimétricas

5 Erros Comuns de Segurança de Chaves de API a Evitar

Considerações Finais

Leitura Adicional

Principais conclusões
