Uma chave de interface de programação de aplicativo (API) é um código exclusivo usado por uma API para identificar o usuário ou aplicativo que está chamando. As chaves de API são usadas para rastrear e controlar quem está usando a API e como eles a usam, bem como para autenticar e autorizar aplicativos – semelhante ao funcionamento de nomes de usuário e senhas. Uma chave de API pode vir na forma de uma única chave ou de um conjunto de várias chaves. Os usuários devem usar chaves de API adequadamente para melhorar sua segurança geral contra roubo de chaves de API e evitar consequências relacionadas ao comprometimento de suas chaves de API.
Distinguir entre API e chave de API
Para entender o que é uma chave de API, primeiro você deve entender o que é uma API. Uma interface de programação de aplicativos ou API (interface de programação de aplicativos) é um middleware que permite que dois ou mais aplicativos compartilhem informações. Por exemplo, a API do CoinMarketCap permite que outros aplicativos recuperem e usem dados de criptomoedas, como preço, volume e capitalização de mercado.
Uma chave de API vem em muitas formas diferentes – pode ser uma única chave ou um conjunto de chaves. Diferentes sistemas usam essas chaves para autenticar e autorizar um aplicativo, de forma semelhante à forma como nomes de usuário e senhas são usados. Uma chave de API é usada pelo cliente de API para autenticar o aplicativo de chamada de API.
Por exemplo, se a Binance Academy quiser usar a API CoinMarketCap, uma chave de API será gerada pela CoinMarketCap e usada para autenticar a identidade da Binance Academy (aplicativo API) solicitando acesso à API. Quando a Binance Academy acessa a API da CoinMarketCap, esta chave de API é enviada à CoinMarketCap junto com a solicitação.
Esta chave API deve ser usada apenas pela Binance Academy e não deve ser compartilhada ou enviada a terceiros. O compartilhamento desta chave de API permitirá que terceiros acessem a CoinMarketCap como Binance Academy, e quaisquer ações de terceiros aparecerão como se tivessem vindo da Binance Academy.
A chave API também pode ser usada pela API CoinMarketCap para confirmar se o aplicativo está autorizado a acessar o recurso solicitado. Além disso, os proprietários de APIs usam chaves de API para rastrear atividades de API, como tipo de solicitação, tráfego e volume.
O que é uma chave de API?
As chaves de API são usadas para controlar e rastrear quem está usando a API e como a está usando. O termo “chave de API” pode significar coisas diferentes para sistemas diferentes. Alguns sistemas possuem um único código, mas outros podem ter vários códigos para uma única “chave de API”.
Assim, uma “chave de API” é um código exclusivo ou conjunto de códigos exclusivos usados por uma API para autenticar e autorizar o usuário ou aplicativo chamador. Alguns códigos são usados para autenticação e outros para criar uma assinatura criptográfica para provar a legitimidade da solicitação.
Essas chaves de autenticação são frequentemente chamadas coletivamente de “chaves de API”, enquanto os códigos usados para assinaturas criptográficas têm uma variedade de nomes, como “chaves privadas”, “chaves públicas” ou “chaves privadas”. A autenticação requer a identificação das entidades envolvidas e a confirmação de que são quem dizem ser.
Por outro lado, autoriza a especificação dos serviços API que podem ser acessados. A funcionalidade de uma chave de API é semelhante à de um nome de usuário e senha de conta; ele também pode ser conectado a outros recursos de segurança para melhorar a segurança geral.
Cada chave de API normalmente é gerada pelo proprietário da API para uma entidade específica (mais detalhes abaixo) e cada vez que uma chamada é feita para um endpoint de API — exigindo autenticação ou autorização do usuário, ou ambas — a chave relevante será usada.
Assinatura criptográfica
Algumas chaves de API usam assinaturas criptográficas como uma camada adicional de verificação. Quando um usuário deseja enviar determinados dados para a API, uma assinatura digital gerada por outra chave pode ser adicionada à solicitação. Usando criptografia, o proprietário da API pode verificar se esta assinatura digital corresponde aos dados enviados.
Assinaturas simétricas e assimétricas
Os dados compartilhados por meio da API podem ser assinados com chaves criptográficas, que se enquadram nas seguintes categorias:
Chaves simétricas
Eles envolvem o uso de uma chave secreta para executar a assinatura de dados e a verificação de assinatura. Com chaves simétricas, a chave API e a chave secreta são normalmente geradas pelo proprietário da API, e o serviço API deve usar a mesma chave secreta para verificar a assinatura. A principal vantagem de usar uma chave singular é que isso é mais rápido e requer menos poder computacional para gerar e verificar a assinatura. Um bom exemplo de chave simétrica é o HMAC.
Chaves assimétricas
Envolvem a utilização de duas chaves: uma chave privada e uma chave pública, que são diferentes, mas ligadas criptograficamente. A chave privada é usada para criar a assinatura e a chave pública é usada para verificar a assinatura. A chave da API é gerada pelo proprietário da API, mas o par de chaves pública e privada é gerado pelo usuário. O proprietário da API só precisa usar a chave pública para verificar a assinatura, para que a chave privada possa permanecer local e secreta.
A principal vantagem da utilização de chaves assimétricas é a maior segurança na separação da chave de geração de assinatura e da chave de verificação. Isso permite que sistemas externos verifiquem a assinatura sem serem capazes de gerá-la. Outra vantagem é que alguns sistemas de criptografia assimétrica suportam a adição de uma senha à chave privada. Um exemplo típico é um par de chaves RSA.
As chaves de API são seguras?
A responsabilidade de manter as chaves de API seguras é do usuário. As chaves de API são semelhantes às senhas e devem ser manuseadas com cuidado. O compartilhamento de chaves de API é semelhante ao compartilhamento de senhas e, portanto, não deve ser feito, pois isso coloca a conta do usuário em risco.
As chaves de API são frequentemente alvo de ataques cibernéticos porque podem ser usadas para realizar operações críticas no sistema, como solicitar informações pessoais ou realizar transações financeiras. Na verdade, houve casos de rastreadores e ataques a bancos de dados on-line para roubar chaves de API.
As consequências do roubo de chaves API podem ser graves e levar a perdas financeiras significativas. Além disso, como algumas chaves de API não expiram, os invasores podem usá-las indefinidamente após serem roubadas, até que as próprias chaves sejam revogadas.
Como usar chaves de API corretamente
Como concede acesso a dados confidenciais, o uso seguro de chaves de API é fundamental. Você pode seguir estas diretrizes de práticas recomendadas para usar chaves de API para melhorar a segurança geral:
Atualize suas chaves de API sempre que possível. Isso significa que você deve excluir sua chave de API atual e criar uma nova. Em muitos sistemas, é fácil criar e excluir chaves de API. Da mesma forma que alguns sistemas exigem que você altere sua senha a cada 30 a 90 dias, você deve alternar suas chaves de API com uma frequência semelhante, se possível.
Use uma lista de permissões de IP: ao criar uma chave de API, crie uma lista de IPs que têm permissão para usar a chave (lista de permissões de IP). Você também pode especificar uma lista de IPs bloqueados (lista negra de IP). Dessa forma, mesmo que sua chave API seja roubada, ela não poderá ser acessada por um IP não reconhecido.
Use múltiplas chaves de API: Ter múltiplas chaves e dividir responsabilidades entre elas reduz os riscos de segurança, pois sua segurança não dependerá de uma única chave com múltiplas permissões. Você também pode definir diferentes listas de permissões de IP para cada chave, reduzindo ainda mais os riscos de segurança.
Armazene chaves de API com segurança: não armazene suas chaves em locais públicos, em computadores compartilhados ou em seu formato original de texto simples. Em vez disso, armazene cada um deles com criptografia ou um gerenciador de segredos para melhor segurança e tome cuidado para não expô-los acidentalmente.
Não compartilhe suas chaves de API. Compartilhar chaves de API é semelhante a compartilhar sua senha. Ao fazer isso, você concede à outra parte os mesmos direitos de autenticação e autorização que você. Se eles forem comprometidos, sua chave API poderá ser roubada e usada para invadir sua conta. Uma chave de API só deve ser usada entre você e o sistema que a gerou.
Se sua chave de API estiver comprometida, você precisará desativá-la primeiro para evitar maiores danos. Se houver alguma perda financeira, faça uma captura de tela das principais informações relacionadas ao incidente, entre em contato com as unidades competentes e envie um relatório à polícia. Esta é a melhor maneira de aumentar suas chances de recuperar quaisquer fundos perdidos.
resumo
As chaves de API fornecem funções básicas de autenticação e autorização, e os usuários devem gerenciar e proteger cuidadosamente suas chaves. Existem muitas etapas e aspectos para garantir o uso seguro das chaves de API. Em geral, você deve pensar na sua chave API como uma senha para sua conta.
Consulte Mais informação:
Princípios gerais de segurança
5 golpes comuns de criptomoeda e como evitá-los
