Как защитить ваши API-ключи на Binance: 5 советов по защите вашей криптовалюты

Binance Blog · 2023-02-14T04:10:16.000Z

Основные ключи интерфейса программирования приложений (API) Takeaways можно использовать для предоставления определенным программам удобного доступа к пользовательским данным. Однако ключи API могут быть скомпрометированы, если ими не управлять должным образом. Чтобы предотвратить компрометацию ваших активов, важно научиться безопасно использовать ключи API. Binance теперь поддерживает пары ключей API RSA для повышения безопасности. Узнайте, как их создавать и использовать. Ключи API позволяют пользователям удобно получать доступ к своим данным. От пар ключей RSA до белых списков IP-ключей — узнайте пять советов от Binance, как обеспечить безопасность ваших ключей API. Ключи интерфейса прикладного программирования (API) — это эффективный способ предоставить определенным программам доступ к пользовательским данным, позволяя им действовать от имени пользователя. . Однако ключи API могут стать уязвимыми, если их не хранить и не использовать должным образом. Например, злоумышленники, которые крадут или выманивают ключи API своих жертв, потенциально могут получить доступ к их средствам. Научитесь обеспечивать безопасность своих активов с помощью наших пяти советов по безопасности ключей API.1. Не делитесь своим ключом с другими. Секретный ключ вашего ключа API (HMAC) и закрытый ключ (RSA) являются очень конфиденциальными данными. Настоятельно рекомендуется не разглашать эту информацию. С его помощью любой может инициировать запрос API от вашего имени, не будучи обнаруженным нашей системой мониторинга рисков. Вам также следует часто проверять активные ключи API в вашей учетной записи через страницу управления API. Если вы подозреваете, что безопасность какого-либо ключа API скомпрометирована, без колебаний удалите его и замените новым. Также неплохо часто удалять старые ключи API и заменять их новыми, аналогично тому, как некоторые системы требуют смены паролей каждые 30–90 дней — независимо от того, активно вы их используете или нет.2. Будьте осторожны в управлении доступом. Ключи API — это полезные инструменты для автоматической торговли, мониторинга позиций и рисков, а также налогов. Следовательно, может возникнуть соблазн включить все разрешения для одного ключа API, чтобы использовать его для нескольких целей, таких как торговля API и запросы данных. Однако это снижает безопасность ключа — если ваш ключ API будет скомпрометирован, хакер может получить полный доступ к вашей учетной записи и средствам.Безопаснее использовать ключ API для одного приложения и включать разрешения, необходимые только для этой цели. Например, если вы хотите отслеживать торговые риски, сообщать о налогах и выполнять спотовую и фьючерсную торговлю через API, вам следует создать как минимум четыре ключа, каждый для одной из следующих целей: Спотовая торговля. Торговля фьючерсами. Запрос налоговых данных. Запрос торговых данных (разрешение только для чтения). ) На Binance вы можете создать до 30 ключей API для каждого субаккаунта.3. Надежно храните данные ключей API. Как уже упоминалось, если ваши ключи API попадут в руки злоумышленника, ваши активы могут быть скомпрометированы. Точно так же, как вы защищаете свои закрытые ключи, не храните данные API в виде обычного текста. Вместо этого зашифруйте его или используйте доверенный менеджер секретов. Вам также следует избегать использования облачных решений для хранения ваших ключей API, поскольку они могут быть уязвимы для взлома. Также рекомендуется избегать хранения вашего ключа API внутри исходного кода или репозитория вашего приложения. Рассмотрите возможность хранения данных вашего ключа API в файлах или переменных среды вне сторонней системы управления, которую вы используете, чтобы не передавать им свою личную информацию. Поскольку закрытые ключи RSA поддерживают защиту паролем, пользователи, использующие ключи RSA, должны добавить пароль к любой имеющийся у них закрытый ключ RSA.4. Используйте белый список IP-адресовBinance настоятельно рекомендует пользователям использовать белый список IP-адресов для всех своих ключей API, независимо от разрешений или целей ключей API. Благодаря белому списку IP-адресов доступ к вашим ключам API возможен только с определенных IP-адресов. Это не позволит злоумышленникам использовать ваши ключи API в случае их компрометации. Поэтому вам следует внести в белый список все IP-адреса, с которыми вы используете свои ключи API. Остерегайтесь мошенничества. Хотя ключ API нельзя использовать для инициирования запросов на снятие средств без внесения в белый список IP-адресов, вам необходимо защитить свои ключи API. Если хакер получит доступ к вашим ключам, он может использовать активы с относительно небольшим объемом торгов для парной торговли и медленно выкачивать активы из вашего кошелька. Выполняя покупку нежелательных активов со счета хакера и обменивая их на свои активы «голубых фишек» (BTC, BNB, BUSD и т. д.), в конечном итоге у вас останутся альткойны, которые вы никогда не собирались покупать. Другими словами, хакер может использовать ваши ключи API для обмена ваших активов на свои активы на рынке с относительно низкой ликвидностью. Чтобы предотвратить такое мошенничество, Binance в декабре 2022 года внедрила политику автоматического удаления ключей API. Если ваш ключ API IP-адрес не внесен в белый список и неактивен в течение 30 дней, он будет удален. Чтобы избежать автоматического удаления, вам следует создать белый список IP-адресов.5. Используйте пары ключей RSAПара ключей RSA (Ривест-Шамир-Адлеман) — это механизм, который использует открытый и закрытый ключи для защиты передачи данных. При наличии пары ключей RSA секретный ключ, используемый для создания подписей, не требует совместного использования. Это означает, что пока закрытый ключ хранится в секрете и безопасности, никто другой не сможет инициировать подлинный запрос от вашего имени. Binance теперь поддерживает ключи API RSA. Binance теперь поддерживает ключи API RSA. Теперь вы можете создавать пары открытого и закрытого ключей RSA, регистрировать открытый ключ на Binance и использовать соответствующий закрытый ключ для создания подписанных запросов API. Как создать пару ключей RSA на Binance? Загрузите последнюю версию официального генератора ключей RSA. Запустите приложение. Вы можете создавать, копировать или сохранять ключи. Вы также можете настроить размер ключа. Чтобы зарегистрировать свой ключ RSA через приложение Binance, перейдите в [Профиль] — [Управление API] — [Создать API] — [Самогенерированный ключ API]. Скопируйте открытый ключ из ключа RSA. генератор и вставьте его в поле для регистрации. Введите имя для вашего ключа API, нажмите [Далее] и завершите двухфакторную аутентификацию для завершения регистрации. Для получения более подробной информации обратитесь к нашему руководству «Как создать пару ключей RSA для отправки». Запросы API на Binance.Дополнительная литература(Объявление) Binance теперь поддерживает ключи API RSA (2022-12-29)(Блог) Как распознать и избежать распространенных случаев мошенничества с криптовалютой-самозванцем(блог) Мошеннические службы восстановления: как не попасться на удочку мошенничества дважды (Блог) Как обнаружить и избежать P2P-мошенничества и мошенничества (Блог) Мошенники создали мою голограмму с искусственным интеллектом, чтобы обманывать ничего не подозревающие проекты

Основные выводыAPI-ключи могут использоваться для программного предоставления определенным программам удобного доступа к необходимым данным — например, для предоставления рыночных данных торговым ботам.
Тем не менее, API-ключи могут быть скомпрометированы, если ими неправильно управлять. Изучение того, как безопасно использовать ваши API-ключи, имеет решающее значение для предотвращения компрометации ваших активов.
Теперь Binance поддерживает две асимметричные пары API-ключей (Ed25519 и RSA) для повышения безопасности. Узнайте, как их сгенерировать и использовать.
API-ключи позволяют пользователям удобно получать доступ к своим данным. От асимметричных пар ключей до белых списков API-ключей, узнайте пять советов от Binance, чтобы сохранить ваши API-ключи в безопасности.
Что такое API-ключ?Интерфейсы прикладного программирования (API) — это эффективный способ предоставить определенным программам доступ к данным пользователя, позволяя им действовать от имени пользователя. С помощью API данные могут быть извлечены из Binance для взаимодействия с внешними приложениями по мере необходимости. Однако API-ключи могут представлять уязвимости, если их неправильно хранить и использовать. Например, злонамеренные лица, которые крадут или фишат API-ключи своих жертв, могут получить доступ к их средствам. Узнайте, как защитить свои активы с помощью наших пяти советов по безопасности API-ключей.
Пять советов по защите ваших API-ключей Binance1. Не делитесь своим API-ключом с другимиСекретный ключ вашего API (HMAC) и приватный ключ (Ed25519, RSA) — это высокочувствительные данные. Никогда не делитесь API-ключами с третьими лицами. С вашим секретным ключом API любой может инициировать API-запрос от вашего имени, не будучи обнаруженным нашей системой мониторинга рисков.
Вы также должны часто проверять активные API-ключи в вашем аккаунте через страницу управления API. Если вы подозреваете, что безопасность любого API-ключа скомпрометирована, немедленно измените их. Также хорошей идеей будет часто менять API-ключи, как это делают некоторые системы, требуя изменения паролей каждые 30-90 дней — независимо от того, используете ли вы их активно или нет.
2. Будьте внимательны в управлении доступомAPI-ключи полезны для задач, таких как автоматическая торговля, мониторинг позиций и рисков, а также налоговые цели. Поэтому может быть заманчиво включить все разрешения для одного API-ключа и использовать его для нескольких целей, таких как торговля через API и запросы данных. Однако это снижает безопасность ключа — если ваш API-ключ будет скомпрометирован, хакер сможет получить полный доступ к вашему аккаунту и средствам.
Безопаснее использовать API-ключ для одного приложения и включать только те разрешения, которые необходимы для этой цели. Например, если вы хотите следить за торговыми рисками, отчитываться по налогам и выполнять торговлю спот и фьючерсами через API, вам следует создать как минимум четыре ключа, по одному для каждой из следующих целей: 
Спотовая торговля
Фьючерсная торговля
Запрос данных по налогам
Запрос торговых данных (только для чтения)
На Binance вы можете создать до 30 API-ключей для каждого субаккаунта.
3. Храните данные вашего API-ключа в безопасностиКак уже упоминалось, если ваши API-ключи попадут в руки злоумышленника, ваши активы могут быть скомпрометированы. Так же, как вы защищаете свои приватные ключи, не храните данные вашего API в открытом виде. Вместо этого зашифруйте его или используйте надежный менеджер секретов. Также следует избегать использования облачных решений для хранения ваших API-ключей, так как они могут быть уязвимы для взломов.
Также рекомендуется избегать хранения ваших API-ключей внутри исходного кода или репозитория вашего приложения. Если вы используете Github или любые другие системы управления версиями, мы рекомендуем использовать сканеры секретов, такие как gitLeaks или git-secrets, чтобы убедиться, что ваш токен и другие секреты, используемые вашими инструментами, не остаются в репозитории.
Рассмотрите возможность хранения данных вашего API-ключа в файлах или переменных окружения вне системы управления третьими лицами, которую вы используете, чтобы избежать передачи вашей личной информации им. Используйте дополнительную защиту паролем для файлов приватного ключа.
4. Используйте белый список IPМы настоятельно рекомендуем пользователям использовать белый список IP для всех своих API-ключей, независимо от разрешений или целей этих ключей. С помощью белого списка IP ваши API-ключи могут быть доступны только с определенных IP-адресов. Это предотвращает использование ваших API-ключей злоумышленниками в случае их компрометации.
Хотя API-ключ не может быть использован для инициирования запросов на вывод средств без белого списка IP, существуют и другие способы, которыми ключи могут быть использованы неправомерно. Если хакер получит доступ к вашим ключам, он сможет использовать активы с относительно небольшим объемом торговли для совершения парной торговли и медленно выводить активы из вашего кошелька. Выполнение покупок нежелательных активов с аккаунта хакера и торговля ими с вашими активами голубой фишки (BTC, BNB, TUSD и т.д.) в конечном итоге оставит вас с альткоинами, которые вы не собирались покупать. Другими словами, хакер может использовать ваши API-ключи для торговли вашими активами против его активов на рынке с относительно низкой ликвидностью.
Чтобы предотвратить такие мошенничества, Binance внедрила политику автоматического удаления API-ключей. Если ваш API-ключ не находится в белом списке IP и неактивен в течение 30 дней, он будет удален. Чтобы избежать автоматического удаления, вам следует создать свой белый список IP.
Мы также рекомендуем быть внимательными в использовании библиотек и инструментов третьих лиц. Существуют злонамеренные библиотеки, специально созданные для эксфильтрации API-ключей. В дополнение к сканерам вирусов и вредоносных программ, рассмотрите возможность использования инструмента анализа программной композиции (SCA) и тщательно проверяйте сторонние библиотеки перед их использованием.
5. Используйте асимметричные пары ключейАсимметричная пара ключей — это механизм, который использует публичные и приватные ключи для обеспечения безопасной передачи данных. При использовании асимметричной пары ключей приватный ключ, используемый для создания подписей, не нужно делить. Это означает, что, пока приватный ключ остается в секрете и защищен, никто другой не сможет инициировать подлинный запрос от вашего имени.
Теперь Binance поддерживает использование ключей Ed25519 и RSA (Ривест-Шамир-Адлеман) для создания подписанных API-запросов. Цифровая подпись Ed25519 обеспечивает высокий уровень безопасности, сопоставимый с 3072-битными ключами RSA, при этом имея гораздо меньшие подписи, которые быстрее вычисляются.
Как сгенерировать API-ключ на BinanceТеперь вы можете создать асимметричные публичные и приватные пары ключей Ed25519 и RSA, зарегистрировать публичные ключи на Binance и использовать соответствующий приватный ключ для создания подписанных API-запросов.
Пошаговое руководство по созданию асимметричной пары ключейСкачайте последнюю версию нашего официального генератора асимметричных ключей
Запустите приложение. Вы можете генерировать, копировать или сохранять ключи. Вы также можете настроить размер вашего ключа.
Чтобы зарегистрировать ваш публичный ключ через приложение Binance, перейдите в [Профиль] -> [Управление API] -> [Создать API] -> [Самосгенерированный API-ключ].
Скопируйте публичный ключ из генератора асимметричных ключей и вставьте его в поле для регистрации.
Введите имя для вашего API-ключа, нажмите [Далее] и завершите 2FA для завершения регистрации.
Для получения более подробной информации, пожалуйста, обратитесь к нашему руководству о том, как сгенерировать пару ключей Ed25519 для отправки API-запросов на Binance.
5 распространенных ошибок безопасности API-ключей, которых следует избегатьОбмен вашим API-ключом: Никогда не делитесь своими API-ключами с третьими лицами. Это может позволить несанкционированный доступ к вашему аккаунту, что может привести к потенциальной потере средств.
Включение чрезмерных разрешений: Избегайте включения всех разрешений для одного API-ключа. Используйте отдельные ключи для разных целей, чтобы минимизировать риск, если один ключ будет скомпрометирован.
Ненадежное хранение API-ключей: Не храните свои API-ключи в открытом виде или в исходном коде вашего приложения. Используйте шифрование или надежные менеджеры секретов, чтобы сохранить их в безопасности.
Неиспользование белого списка IP: Всегда используйте белый список IP, чтобы ограничить доступ к вашим API-ключам с определенных IP-адресов, предотвращая несанкционированное использование, даже если ключи были скомпрометированы.
Игнорирование асимметричных пар ключей: Используйте асимметричные пары ключей (Ed25519 или RSA) для создания подписанных API-запросов, обеспечивая безопасность вашего приватного ключа.
Заключительные мыслиЗащита ваших API-ключей имеет решающее значение для защиты ваших активов и обеспечения безопасного взаимодействия с внешними приложениями. Следуя лучшим практикам, таким как недележание ваших API-ключей, тщательное управление доступом, безопасное хранение ключей, использование белых списков IP и использование асимметричных пар ключей, вы можете значительно снизить риск несанкционированного доступа и потенциальной потери средств. Оставайтесь бдительными и проактивными в управлении вашими API-ключами, чтобы всегда держать свои цифровые активы в безопасности на Binance.
Дополнительные материалыКак идентифицировать и избегать распространенных мошенничеств с криптовалютой
Мошеннические службы восстановления: Как не попасть на удочку мошенников дважды
Как распознать и избежать мошенничества P2P

.css-1iqe90x{box-sizing:border-box;margin:0;min-width:0;color:#EAECEF;}Основные выводы

Что такое API-ключ?

Пять советов по защите ваших API-ключей Binance

1. Не делитесь своим API-ключом с другими

2. Будьте внимательны в управлении доступом

3. Храните данные вашего API-ключа в безопасности

4. Используйте белый список IP

5. Используйте асимметричные пары ключей

Как сгенерировать API-ключ на Binance

Пошаговое руководство по созданию асимметричной пары ключей

5 распространенных ошибок безопасности API-ключей, которых следует избегать

Заключительные мысли

Дополнительные материалы

Основные выводы