Основная мысль

  • Ключи интерфейса прикладного программирования (API) можно использовать для обеспечения легкого доступа к пользовательским данным для определенных программ.

  • Однако ключи API могут быть скомпрометированы, если ими не управлять должным образом. Обучение тому, как безопасно использовать ключи API, имеет решающее значение для предотвращения компрометации ваших активов.

  • Binance теперь поддерживает пары ключей RSA API для повышения безопасности. Узнайте, как его создать и использовать.

Ключи API позволяют пользователям легко получить доступ к своим данным. От пар ключей RSA до белых списков ключей API — узнайте пять советов от Binance, как обеспечить безопасность ключей API.

Ключи интерфейса прикладного программирования (API) — это эффективный способ предоставить доступ к пользовательским данным определенным программам, которые могут действовать от имени пользователя. Однако ключи API могут создавать уязвимости, если их неправильно хранить и использовать. Например, злоумышленник, который крадет или подделывает ключ API своей жертвы, потенциально может получить доступ к средствам жертвы. Узнайте, как обеспечить безопасность своих активов, с помощью наших пяти советов по безопасности ключей API.

1. Не делитесь своими ключами с другими

Секретный ключ (HMAC) и закрытый ключ (RSA) вашего ключа API являются очень конфиденциальными данными. Настоятельно рекомендуется не разглашать эту информацию. С помощью этого ключа любой может инициировать запросы API от вашего имени, не будучи обнаруженным нашими системами мониторинга рисков.

Вам также следует часто проверять активные ключи API в вашей учетной записи через страницу управления API. Если вы подозреваете, что безопасность какого-либо ключа API была скомпрометирована, без колебаний удалите его и замените новым. Также неплохо часто удалять старые ключи API и заменять их новыми, подобно некоторым системам, которые требуют смены паролей каждые 30–90 дней — независимо от того, активно вы их используете или нет.

2. Будьте внимательны в управлении доступом

Ключи API — полезный инструмент для автоматической торговли, мониторинга позиций и рисков, а также налогов. Поэтому у вас может возникнуть соблазн включить все разрешения для одного ключа API для использования в нескольких целях, таких как торговля API и запрос данных. Однако это снижает безопасность ключа — если ваш ключ API скомпрометирован, хакеры могут получить полный доступ к вашей учетной записи и средствам.

Вы безопаснее использовать ключ API для одного приложения и включать разрешения, необходимые только для этой цели. Например, если вы хотите отслеживать торговые риски, сообщать о налогах и совершать спотовые и фьючерсные сделки API, вам необходимо создать как минимум четыре ключа, каждый для одной из следующих целей:

  1. Спотовая торговля

  2. Торговля фьючерсами

  3. Запрос налоговых данных

  4. Запрос торговых данных (разрешение только на чтение)

На Binance вы можете создать до 30 ключей API для каждого субаккаунта.

3. Надежно храните данные ключей API

Как уже упоминалось, если ваш ключ API попадет в руки преступника, ваши активы могут быть скомпрометированы. Точно так же, как вы защищаете закрытые ключи, не храните данные API в виде обычного текста. Вместо этого зашифруйте или используйте доверенный менеджер секретов. Вам также следует избегать использования облачных решений для хранения ключей API, поскольку они могут быть уязвимы для взлома.

Также рекомендуется не хранить ключ API в исходном коде или репозитории вашего приложения. 

Рассмотрите возможность хранения данных ключа API в файлах или переменных среды вне сторонних систем управления, которые вы используете, чтобы не передавать им свою личную информацию.

Поскольку закрытые ключи RSA поддерживают защиту паролем, пользователи, использующие ключи RSA, должны добавить пароль ко всем личным ключам RSA, которыми они владеют.

4. Используйте белый список IP-адресов.

Binance настоятельно рекомендует пользователям использовать белый список IP-адресов для всех своих ключей API, независимо от разрешений или назначения ключа API. Благодаря белому списку IP-адресов доступ к вашему ключу API можно получить только с определенного IP-адреса. Это не позволит преступникам использовать ваш ключ API, если он скомпрометирован. Поэтому вы должны внести в белый список все IP-адреса, используемые для использования вашего ключа API.

Остерегайтесь мошенничества

Хотя ключи API нельзя использовать для инициирования запросов на включение без внесения IP-адресов в белый список, вам необходимо защитить свои ключи API. Если хакеры получат доступ к вашим ключам, они смогут использовать активы с относительно небольшими объемами торгов для размещения сделок и медленно выкачивать активы из вашего кошелька. Совершая покупки нежелательных активов с хакерских учетных записей и обменивая их на активы «голубых фишек» (BTC, BNB и т. д.), вы в конечном итоге станете владельцем альткойнов, которые никогда не собирались покупать. Другими словами, хакеры могут использовать ваш ключ API для обмена ваших активов на свои активы на рынках с относительно низкой ликвидностью.

Чтобы предотвратить такое мошенничество, Binance в декабре 2022 года внедрила политику автоматического удаления ключа API. Если ваш ключ API не использует IP-адрес из белого списка и неактивен в течение 30 дней, он будет удален. Чтобы избежать автоматического удаления, вам следует внести свой IP-адрес в белый список.

5. Используйте пару ключей RSA.

Пара ключей RSA (Ривест-Шамир-Адлеман) — это механизм, который использует открытый ключ и закрытый ключ для защиты передачи данных.

При использовании пары ключей RSA закрытый ключ, используемый для создания подписи, не требует совместного использования. Это означает, что пока закрытый ключ хранится в секрете и безопасности, другие не могут инициировать подлинные запросы от вашего имени.

Binance теперь поддерживает ключи API RSA

Binance теперь поддерживает ключи API RSA. Теперь вы можете создать пару открытого и закрытого ключей RSA, зарегистрировать открытый ключ на Binance и использовать соответствующий закрытый ключ для подписания запросов API. 

Как создать пару ключей RSA на Binance?

  1. Загрузите последнюю версию официального генератора ключей RSA.

  1. Запустите приложение. Вы можете создавать, копировать или сохранять ключи. Вы также можете настроить размер клавиш.

  1. Чтобы зарегистрировать ключ RSA через приложение Binance, перейдите в [Профиль] — [Управление API] — [Создать API] — [Создать ключ API].

  1. Скопируйте открытый ключ из генератора ключей RSA, затем вставьте его в поле для регистрации.

  1. Введите имя для вашего ключа API, нажмите [Далее], затем выполните 2FA для завершения регистрации.

Более подробную информацию можно найти в нашем руководстве «Как создать пару ключей RSA для отправки запросов API на Binance».

Дальнейшее чтение

  • (Объявление) Binance теперь поддерживает ключи API RSA (29 декабря 2022 г.)

  • (Блог) Как распознать и избежать мошенничества со стороны обычных крипто-мошенников

  • (Блог) Услуги по восстановлению фальшивых средств: как избежать мошенничества такого типа

  • (Блог) Как распознать и избежать P2P-мошенничества

  • (Блог) Мошенник создал мою ИИ-голограмму, чтобы обмануть криптопроекты