O ponto principal

  • As chaves da Interface de Programação de Aplicativo (API) podem ser usadas para fornecer acesso fácil aos dados do usuário para determinados programas.

  • No entanto, as chaves de API podem ser comprometidas se não forem gerenciadas adequadamente. Aprender como usar suas chaves de API com segurança é fundamental para evitar que seus ativos sejam comprometidos.

  • A Binance agora oferece suporte a pares de chaves API RSA para maior segurança. Aprenda como criá-lo e usá-lo.

As chaves de API permitem que os usuários acessem facilmente seus dados. De pares de chaves RSA a listas de permissões de chaves de API, aprenda cinco dicas da Binance para manter suas chaves de API seguras.

As chaves da Interface de Programação de Aplicativos (API) são uma maneira eficiente de fornecer acesso aos dados do usuário para que determinados programas atuem em nome do usuário. No entanto, as chaves de API podem introduzir vulnerabilidades se não forem armazenadas e usadas corretamente. Por exemplo, agentes mal-intencionados que roubam ou fazem phishing nas chaves de API de suas vítimas podem potencialmente obter acesso aos fundos da vítima. Aprenda como manter seus ativos seguros com nossas cinco dicas de segurança de chaves de API.

1. Não compartilhe suas chaves com outras pessoas

A chave secreta (HMAC) e a chave privada (RSA) da sua chave de API são dados altamente confidenciais. É altamente recomendável que você não divulgue essas informações. Com essa chave, qualquer pessoa pode iniciar solicitações de API em seu nome sem ser detectada por nossos sistemas de monitoramento de riscos.

Você também deve verificar frequentemente as chaves de API ativas em sua conta por meio da página de gerenciamento de API. Se você suspeitar que a segurança de qualquer chave de API foi comprometida, não hesite em excluí-la e substituí-la por uma nova. Também é uma boa ideia excluir frequentemente chaves de API antigas e substituí-las por novas, semelhante a alguns sistemas que exigem que as senhas sejam alteradas a cada 30-90 dias, independentemente de você as estar usando ativamente ou não.

2. Seja diligente no gerenciamento de acesso

As chaves de API são uma ferramenta útil para negociação automatizada, monitoramento de posição e risco, além de impostos. Portanto, você pode ficar tentado a habilitar todas as permissões para uma única chave de API para uso em diversas finalidades, como negociação de API e consultas de dados. No entanto, essa ação reduz a segurança da chave: se sua chave de API for comprometida, hackers podem obter acesso total à sua conta e fundos.

É mais seguro usar uma chave de API para um aplicativo e habilitar as permissões necessárias somente para esse propósito. Por exemplo, se você quiser monitorar riscos de negociação, relatar impostos e executar negociações de API Spot e Futuros, você deve criar pelo menos quatro chaves, cada uma para uma das seguintes finalidades:

  1. Negociação à vista

  2. Negociação de futuros

  3. Consulta de dados fiscais

  4. Consulta de dados comerciais (permissão somente leitura)

Na Binance, você pode criar até 30 chaves de API para cada subconta.

3. Armazene os dados da sua chave de API com segurança

Como mencionado, se sua chave de API cair nas mãos de um agente malicioso, seus ativos poderão ser comprometidos. Assim como você protege chaves privadas, não armazene os detalhes da sua API em texto simples. Em vez disso, criptografe ou use um gerenciador de segredos confiável. Você também deve evitar usar soluções baseadas em nuvem para armazenar suas chaves de API, pois elas podem ser vulneráveis ​​a hackers.

Também é recomendável que você não armazene suas chaves de API no código-fonte ou repositório do seu aplicativo. 

Considere armazenar os dados da sua chave de API em um arquivo ou variável de ambiente fora do sistema de gerenciamento de terceiros que você usa para evitar compartilhar suas informações pessoais com eles.

Como as chaves privadas RSA oferecem suporte à proteção por senha, os usuários que usam chaves RSA devem adicionar uma senha a quaisquer chaves privadas RSA que possuam.

4. Use a lista de permissões de IP

A Binance recomenda fortemente que os usuários usem a lista de permissões de IP em todas as suas chaves de API, independentemente das permissões ou finalidade da chave de API. Com a lista de permissões de IP, suas chaves de API só podem ser acessadas de endereços IP específicos. Isso evita que criminosos usem sua chave de API se ela estiver comprometida. Portanto, você deve colocar na lista de permissões todos os endereços IP usados ​​para usar sua chave de API.

Cuidado com a fraude

Embora as chaves de API não possam ser usadas para iniciar solicitações de pull sem colocar o IP na lista de permissões, você precisa proteger suas chaves de API. Se hackers obtiverem acesso às suas chaves, eles poderão usar ativos com volumes de negociação relativamente pequenos para fazer negociações e lentamente desviar ativos da sua carteira. Ao executar uma compra de ativos indesejados da conta do hacker e trocá-los por seus ativos blue chip (BTC, BNB, etc.), você acabará possuindo altcoins que nunca pretendeu comprar. Em outras palavras, hackers podem usar suas chaves de API para trocar seus ativos pelos deles em mercados com liquidez relativamente baixa.

Para evitar esse tipo de fraude, a Binance implementou uma política de exclusão automática de chaves de API em dezembro de 2022. Se sua chave de API não usar um IP permitido e ficar inativa por 30 dias, ela será excluída. Para evitar a exclusão automática, você deve colocar seu IP na lista de permissões.

5. Use o par de chaves RSA

O par de chaves RSA (Rivest-Shamir-Adleman) é um mecanismo que usa uma chave pública e uma chave privada para proteger a transmissão de dados.

Com um par de chaves RSA, a chave privada usada para criar a assinatura não precisa ser compartilhada. Isso significa que, enquanto a chave privada for mantida em segredo e segura, ninguém mais poderá iniciar solicitações autênticas em seu nome.

Binance agora oferece suporte a chaves de API RSA

A Binance agora oferece suporte a chaves de API RSA. Agora você pode gerar um par de chaves pública e privada RSA, registrar a chave pública na Binance e usar a chave privada correspondente para fazer solicitações de API assinadas. 

Como criar um par de chaves RSA na Binance?

  1. Baixe a versão mais recente do Gerador de Chaves RSA oficial.

  1. Inicie o aplicativo. Você pode criar, copiar ou salvar chaves. Você também pode ajustar o tamanho das suas teclas.

  1. Para registrar sua chave RSA pelo aplicativo Binance, acesse [Perfil] - [Gerenciamento de API] - [Criar API] - [Chave de API personalizada].

  1. Copie a chave pública do gerador de chaves RSA e cole-a na caixa para registrar.

  1. Digite um nome para sua chave de API, clique em [Avançar] e conclua o 2FA para finalizar o registro.

Para mais detalhes, consulte nosso guia sobre Como criar um par de chaves RSA para enviar solicitações de API na Binance.

Leitura adicional

  • (Anúncio) Binance agora oferece suporte a chaves de API RSA (29/12/2022)

  • (Blog) Como identificar e evitar golpes comuns com criptomoedas

  • (Blog) Serviços falsos de recuperação de fundos: como evitar esse tipo de golpe

  • (Blog) Como reconhecer e evitar golpes P2P

  • (Blog) Golpista cria holograma de mim com IA para fraudar projetos de criptomoedas