Ключі прикладного програмного інтерфейсу (API) можуть використовуватися для надання окремим програмам зручного доступу до необхідних даних – наприклад, для передавання ринкових даних торговим ботам.
Однак ключі API можуть бути зламані, якщо не користуватися ними належним чином. Навчитися безпечно використовувати ключі API важливо для захисту ваших активів.
Binance тепер підтримує дві асиметричні пари ключів API (Ed25519 та RSA) для підвищення безпеки. Дізнайтеся, як їх створювати та використовувати.
Завдяки ключам API користувачі можуть у зручний спосіб отримувати доступ до своїх даних. Від асиметричних пар ключів до білих списків IP-адрес – дізнайтеся п’ять порад від Binance, як захистити свої ключі API.
Прикладні програмні інтерфейси (API) – це ефективний спосіб надати певним програмам доступ до даних користувача, що дозволяє їм діяти від його імені. За допомогою API можна отримувати дані з Binance для взаємодії зі сторонніми програмами за потреби. Втім, ключі API можуть становити загрозу безпеці, якщо їх зберігати або використовувати неналежним чином. Наприклад, зловмисники, які викрадають отримують доступ до ключів API своїх жертв через фішинг, можуть потенційно отримати доступ до їхніх коштів. Навчіться захищати свої активи за допомогою наших п’яти порад щодо безпечного використання ключів API.
Ваш секретний ключ API (HMAC) і приватний ключ (Ed25519, RSA) – це суворо конфіденційні дані. Ніколи не діліться ключами API з третіми особами. З доступом до секретного ключа вашого API будь-хто може ініціювати запит API від вашого імені, при цьому наша система моніторингу ризиків не зможе його виявити.
Вам також слід регулярно перевіряти активні ключі API у своєму акаунті на сторінці керування API. Якщо ви підозрюєте, що безпека будь-якого ключа API скомпрометована, змініть його негайно. Також доцільно регулярно змінювати ключі API, подібно до того, як деякі системи вимагають змінювати паролі кожні 30-90 днів – незалежно від того, чи активно ви їх використовуєте, чи ні.
Ключі API корисні для таких завдань, як автоматизована торгівля, моніторинг позицій і ризиків, а також для податкового обліку. Тому може виникнути спокуса ввімкнути всі дозволи для одного ключа API, щоб використовувати його для кількох цілей, наприклад, для торгівлі API та запитів даних. Однак це знижує безпеку ключа – якщо ваш ключ API буде зламано, хакер може отримати повний доступ до вашого акаунту та коштів.
Безпечніше використовувати ключ API для однієї програми та ввімкнути дозволи, необхідні лише для неї. Наприклад, якщо ви хочете контролювати торгові ризики, звітувати про податки та здійснювати спотову і ф’ючерсну торгівлю через API, вам слід створити принаймні чотири ключі, кожен для однієї з таких цілей:
Спотова торгівля
Ф’ючерсна торгівля
Запит податкових даних
Запит торгових даних (дозвіл лише на читання)
На Binance ви можете створити до 30 ключів API для кожного суб-акаунту.
Як згадувалося, якщо ваші ключі API потраплять до рук зловмисників, вони можуть отримати доступ до ваших активів. Ключі API слід зберігати так само, як і приватні ключі, тобто не зберігати їх у текстовому вигляді. Замість цього зашифруйте його або скористайтеся надійним менеджером паролів. Вам також слід уникати використання хмарних сховищ для збереження ваших ключів API, оскільки вони можуть бути вразливими для злому.
Також не рекомендується зберігати ключі API у вихідному коді та репозиторіях програми. Якщо ви користуєтеся GitHub або іншими системами керування вихідним кодом (SCM), ми рекомендуємо використовувати сканери секретів, як-от gitLeaks або git-secrets, щоб переконатися, що ваші токени та інші конфіденційні дані, які використовуються інструментами, не зберігаються в репозиторії.
Розгляньте можливість зберігання ваших даних про ключі API у файлах або змінних середовища за межами сторонньої системи керування, яку ви використовуєте, щоб уникнути надання їм ваших персональних даних. Використовуйте додатковий захист паролем для файлів із приватними ключами.
Ми наполегливо рекомендуємо всім користувачам використовувати білий список IP-адрес для всіх своїх ключів API – незалежно від їхніх дозволів або призначення. За допомогою білого списку IP-адрес доступ до ваших ключів API можна буде отримати лише з певних IP-адрес. Це запобігає використанню зловмисниками ваших ключів API у разі їх зламу.
Хоча без білого списку IP-адрес ключ API не може використовуватись для зняття коштів, зловмисники все одно можуть використати його в інший спосіб. Якщо хакер отримає доступ до ваших ключів, він може використовувати активи з відносно невеликим обсягом торгівлі для парного трейдингу та поступово виводити кошти з вашого гаманця. Хакер буде купувати небажані активи та торгувати в парі до них вашими великими активами (BTC, BNB, TUSD тощо), у результаті чого ви залишитеся з альткоїнами, які ніколи не планували купувати. Тобто хакер може використовувати ваші ключі API для торгівлі вашими активами в парі зі своїми активами на ринку з відносно низькою ліквідністю.
Щоб уникнути таких видів шахрайства, Binance запровадила політику автоматичного видалення ключів API. Якщо ваш ключ API не внесено до білого списку IP-адрес і він не використовується протягом 30 днів, його буде видалено. Щоб уникнути автоматичного видалення, вам слід створити білий список IP-адрес.
Також рекомендуємо бути уважними під час використання сторонніх бібліотек і інструментів. Існують шкідливі бібліотеки, спеціально розроблені для викрадення ключів API. Окрім сканерів на віруси та шкідливе ПЗ, рекомендуємо також використовувати інструменти аналізу складу програмного забезпечення (SCA) та ретельно перевіряти сторонні бібліотеки перед їх інтеграцією.
Асиметрична пара ключів – це механізм, який використовує публічний і приватний ключі для захисту передавання даних. Завдяки асиметричній парі ключів приватний ключ, який використовується для створення підписів, не потрібно передавати або розкривати. Це означає, що поки приватний ключ зберігається в таємниці та в безпеці, ніхто інший не може ініціювати аутентичний запит від вашого імені.
Binance тепер підтримує використання ключів Ed25519 та RSA (Rivest–Shamir–Adleman) для створення підписаних запитів API. Схема цифрового підпису Ed25519 забезпечує високий рівень безпеки, порівнюваний із 3072-бітними ключами RSA, але має значно менший розмір підписів і швидшу обробку.
Тепер ви можете створювати пари публічного та приватного ключів Ed25519 і RSA, зареєструвати публічний ключ на Binance та використовувати відповідний приватний ключ для створення підписаних запитів API.
Завантажте останню версію нашого офіційного генератора асиметричних ключів
Увійдіть у застосунок. Ви можете генерувати, копіювати або зберігати ключі. Ви також можете налаштувати розмір ключа.
Щоб зареєструвати свій публічний ключ через застосунок Binance, перейдіть у [Профіль] -> [Керування API] -> [Створити API] -> [Самостійно згенерований ключ API].
Скопіюйте публічний ключ із генератора асиметричних ключів і вставте його в поле для реєстрації.
Введіть назву свого ключа API, клацніть [Далі] та пройдіть 2FA, щоб завершити реєстрацію.
Для отримання додаткової інформації перегляньте наш посібник "Як створити пару ключів Ed25519 для надсилання запитів API на Binance".
Доступ до API-ключа: ніколи не діліться ключами API з третіми особами. Це може дозволити несанкціонований доступ до вашого акаунту й призвести до потенційної втрати коштів.
Надання надмірних дозволів: уникайте активації всіх дозволів для одного ключа API. Використовуйте окремі ключі для різних цілей, щоб мінімізувати ризик, якщо один з ключів буде скомпрометовано.
Ненадійне зберігання ключів API: не зберігайте ключі API як звичайний текст або у вихідному коді вашої програми. Використовуйте шифрування або надійні менеджери секретів для їх безпеки.
Відсутність білого списку IP: завжди використовуйте білий список IP-адрес, щоб обмежити доступ до ваших ключів API лише з певних адрес. Це допоможе запобігти несанкціонованому доступу навіть у разі компрометації ключів.
Нехтування асиметричними парами ключів: використовуйте асиметричні пари ключів (Ed25519 або RSA) для створення підписаних запитів API, забезпечуючи безпеку вашого приватного ключа.
Захист ключів API є критично важливим для безпеки ваших активів і надійної взаємодії зі сторонніми програмами. Дотримуючись найкращих практик, таких як недопущення розголошення ваших ключів API, уважне управління доступом, безпечне зберігання ключів, використання білого списку IP-адрес та застосування асиметричних пар ключів, ви можете значно знизити ризик несанкціонованого доступу та потенційної втрати коштів. Будьте пильними та проактивними в управлінні своїми ключами API, щоб завжди зберігати свої цифрові активи в безпеці на Binance.
