Những Điều Chính
Các khóa giao diện lập trình ứng dụng (API) có thể được sử dụng để cấp quyền truy cập thuận tiện cho một số chương trình nhất định đến dữ liệu mà chúng cần – ví dụ, cung cấp dữ liệu thị trường cho các bot giao dịch.
Tuy nhiên, các khóa API có thể bị xâm phạm nếu không được quản lý đúng cách. Học cách sử dụng các khóa API của bạn một cách an toàn là điều cần thiết để ngăn chặn tài sản của bạn bị xâm phạm.
Binance hiện hỗ trợ hai cặp khóa API bất đối xứng (Ed25519 và RSA) để tăng cường bảo mật. Tìm hiểu cách tạo và sử dụng chúng.
Các khóa API cho phép người dùng truy cập dữ liệu của họ một cách thuận tiện. Từ các cặp khóa bất đối xứng đến danh sách trắng khóa API, hãy học năm mẹo từ Binance để giữ cho các khóa API của bạn an toàn.
Khóa API là gì?
Các giao diện lập trình ứng dụng (API) là cách hiệu quả để cấp quyền truy cập cho một số chương trình nhất định vào dữ liệu người dùng, cho phép chúng hành động thay mặt cho người dùng. Với API, dữ liệu có thể được kéo từ Binance để tương tác với các ứng dụng bên ngoài khi cần. Tuy nhiên, các khóa API có thể mang lại những điểm yếu nếu không được lưu trữ và sử dụng đúng cách. Ví dụ, những kẻ xấu có thể đánh cắp hoặc lừa đảo các khóa API của nạn nhân có thể có quyền truy cập vào tài sản của họ. Hãy học cách giữ an toàn cho tài sản của bạn với năm mẹo bảo mật khóa API của chúng tôi.
Năm Mẹo Để Bảo Mật Các Khóa API Của Bạn Trên Binance
1. Không Chia Sẻ Khóa API Của Bạn Với Người Khác
Khóa bí mật của API (HMAC) và khóa riêng (Ed25519, RSA) của bạn là dữ liệu rất nhạy cảm. Không bao giờ chia sẻ các khóa API với bên thứ ba. Với khóa bí mật của API của bạn, bất kỳ ai cũng có thể khởi xướng một yêu cầu API thay mặt cho bạn mà không bị phát hiện bởi hệ thống giám sát rủi ro của chúng tôi.
Bạn cũng nên thường xuyên kiểm tra các khóa API đang hoạt động trên tài khoản của mình qua trang quản lý API. Nếu bạn nghi ngờ rằng sự an toàn của bất kỳ khóa API nào bị xâm phạm, hãy thay đổi chúng ngay lập tức. Đây cũng là một ý tưởng tốt để thường xuyên thay đổi các khóa API, tương tự như cách một số hệ thống yêu cầu mật khẩu được thay đổi mỗi 30-90 ngày – bất kể bạn có sử dụng chúng hay không.
2. Cẩn Thận Trong Quản Lý Quyền Truy Cập
Các khóa API rất hữu ích cho các nhiệm vụ như giao dịch tự động, theo dõi vị trí và rủi ro, và mục đích thuế. Do đó, có thể sẽ rất hấp dẫn khi bật tất cả các quyền trên một khóa API duy nhất và sử dụng nó cho nhiều mục đích khác nhau, chẳng hạn như giao dịch API và truy vấn dữ liệu. Tuy nhiên, điều này làm giảm bảo mật của khóa – nếu khóa API của bạn bị xâm phạm, một hacker có thể có quyền truy cập đầy đủ vào tài khoản và tài sản của bạn.
An toàn hơn khi sử dụng một khóa API cho một ứng dụng duy nhất và bật các quyền cần thiết cho mục đích đó mà thôi. Ví dụ, nếu bạn muốn theo dõi rủi ro giao dịch, báo cáo thuế và thực hiện giao dịch API cho giao dịch giao ngay và tương lai, bạn nên tạo ít nhất bốn khóa, một cho mỗi mục đích sau:
Giao Dịch Giao Ngay
Giao Dịch Tương Lai
Truy Vấn Dữ Liệu Thuế
Truy Vấn Dữ Liệu Giao Dịch (quyền đọc)
Trên Binance, bạn có thể tạo tối đa 30 khóa API cho mỗi tài khoản con.
3. Lưu Trữ Dữ Liệu Khóa API Của Bạn Một Cách An Toàn
Như đã đề cập, nếu các khóa API của bạn rơi vào tay kẻ xấu, tài sản của bạn có thể bị xâm phạm. Giống như cách bạn bảo vệ các khóa riêng của mình, đừng lưu trữ thông tin chi tiết về API của bạn dưới dạng văn bản thuần. Thay vào đó, hãy mã hóa nó hoặc sử dụng một công cụ quản lý bí mật đáng tin cậy. Bạn cũng nên tránh sử dụng các giải pháp dựa trên đám mây để giữ các khóa API của bạn, vì chúng có thể dễ bị tấn công.
Cũng nên tránh lưu trữ các khóa API của bạn bên trong mã nguồn hoặc kho lưu trữ của ứng dụng của bạn. Nếu bạn đang sử dụng Github hoặc bất kỳ SCM nào khác, chúng tôi khuyên bạn nên sử dụng các công cụ quét bí mật như gitLeaks hoặc git-secrets để đảm bảo rằng mã thông báo và các bí mật khác mà bạn sử dụng không tồn tại trong kho.
Hãy xem xét việc lưu trữ dữ liệu khóa API của bạn trong các tệp hoặc biến môi trường bên ngoài hệ thống quản lý của bên thứ ba mà bạn đang sử dụng để tránh chia sẻ thông tin cá nhân của bạn với họ. Sử dụng bảo vệ thêm bằng cụm mật khẩu cho các tệp khóa riêng.
4. Sử Dụng Danh Sách Trắng IP
Chúng tôi khuyến nghị mạnh mẽ rằng người dùng nên sử dụng danh sách trắng IP cho tất cả các khóa API của họ, bất kể quyền hạn hoặc mục đích của những khóa này. Với danh sách trắng IP, các khóa API của bạn chỉ có thể được truy cập từ các địa chỉ IP cụ thể. Điều này ngăn chặn những kẻ xấu sử dụng các khóa API của bạn trong trường hợp chúng bị xâm phạm.
Mặc dù một khóa API không thể được sử dụng để khởi xướng yêu cầu rút tiền mà không có danh sách trắng IP, nhưng vẫn có những cách khác mà các khóa có thể bị lạm dụng. Nếu một hacker có quyền truy cập vào các khóa của bạn, họ có thể sử dụng tài sản với khối lượng giao dịch tương đối nhỏ để giao dịch cặp và từ từ rút tài sản từ ví của bạn. Thực hiện việc mua các tài sản không mong muốn từ tài khoản của hacker và giao dịch chúng với các tài sản blue chip của bạn (BTC, BNB, TUSD, v.v.) sẽ cuối cùng để lại cho bạn những altcoin mà bạn không có ý định mua. Nói cách khác, hacker có thể sử dụng các khóa API của bạn để giao dịch tài sản của bạn với tài sản của họ trong một thị trường có tính thanh khoản tương đối thấp.
Để ngăn chặn những vụ lừa đảo như vậy, Binance đã thực hiện chính sách tự động xóa khóa API. Nếu khóa API của bạn không được danh sách trắng IP và không hoạt động trong 30 ngày, nó sẽ bị xóa. Để tránh bị xóa tự động, bạn nên tạo danh sách trắng IP của mình.
Chúng tôi cũng khuyến nghị cẩn thận trong việc sử dụng các thư viện và công cụ của bên thứ ba. Có những thư viện độc hại được thiết kế đặc biệt để lấy cắp khóa API. Ngoài việc quét virus và malware, hãy xem xét sử dụng công cụ phân tích thành phần phần mềm (SCA) và xem xét cẩn thận các thư viện bên thứ ba trước khi đưa chúng vào.
5. Sử Dụng Các Cặp Khóa Bất Đối Xứng
Một cặp khóa bất đối xứng là một cơ chế sử dụng khóa công khai và khóa riêng để bảo mật việc truyền dữ liệu. Với một cặp khóa bất đối xứng, khóa riêng được sử dụng để tạo chữ ký không cần phải chia sẻ. Điều này có nghĩa là miễn là khóa riêng được giữ bí mật và an toàn, không ai khác có thể khởi xướng một yêu cầu xác thực thay mặt cho bạn.
Binance hiện hỗ trợ sử dụng các khóa Ed25519 và RSA (Rivest-Shamir-Adleman) để tạo yêu cầu API đã ký. Chế độ ký số Ed25519 cung cấp mức độ bảo mật cao tương đương với các khóa RSA 3072-bit trong khi có chữ ký nhỏ hơn nhiều và nhanh hơn để tính toán.
Cách Tạo Khóa API trên Binance
Bây giờ bạn có thể tạo cặp khóa công khai và riêng Ed25519 và RSA, đăng ký các khóa công khai trên Binance và sử dụng khóa riêng tương ứng để tạo yêu cầu API đã ký.
Hướng Dẫn Từng Bước Để Tạo Một Cặp Khóa Bất Đối Xứng
Tải xuống phiên bản mới nhất của Trình tạo Khóa Bất Đối Xứng chính thức của chúng tôi
Khởi chạy ứng dụng. Bạn có thể tạo, sao chép hoặc lưu khóa. Bạn cũng có thể điều chỉnh kích thước khóa của mình.
Để đăng ký khóa công khai của bạn qua Ứng dụng Binance, hãy vào [Hồ sơ] -> [Quản lý API] -> [Tạo API] -> [Khóa API tự tạo].
Sao chép khóa công khai từ trình tạo khóa bất đối xứng và dán vào ô để đăng ký.
Nhập tên cho khóa API của bạn, nhấp [Tiếp theo] và hoàn tất xác thực 2FA để hoàn tất đăng ký.
Để biết thêm chi tiết, vui lòng tham khảo hướng dẫn của chúng tôi về Cách Tạo Cặp Khóa Ed25519 Để Gửi Yêu Cầu API Trên Binance.
5 Sai Lầm Bảo Mật Khóa API Thường Gặp Cần Tránh
Chia Sẻ Khóa API Của Bạn: Không bao giờ chia sẻ các khóa API của bạn với bên thứ ba. Làm như vậy có thể cho phép truy cập trái phép vào tài khoản của bạn, dẫn đến khả năng mất tiền.
Bật Quyền Truy Cập Quá Mức: Tránh bật tất cả các quyền trên một khóa API duy nhất. Sử dụng các khóa riêng biệt cho các mục đích khác nhau để giảm thiểu rủi ro nếu một khóa bị xâm phạm.
Lưu Trữ Khóa API Không An Toàn: Không lưu trữ các khóa API của bạn dưới dạng văn bản thuần hoặc trong mã nguồn của ứng dụng của bạn. Sử dụng mã hóa hoặc các công cụ quản lý bí mật đáng tin cậy để giữ an toàn cho chúng.
Không Sử Dụng Danh Sách Trắng IP: Luôn sử dụng danh sách trắng IP để hạn chế quyền truy cập vào các khóa API của bạn từ các địa chỉ IP cụ thể, ngăn chặn việc sử dụng trái phép ngay cả khi các khóa bị xâm phạm.
Bỏ Qua Các Cặp Khóa Bất Đối Xứng: Sử dụng các cặp khóa bất đối xứng (Ed25519 hoặc RSA) để tạo các yêu cầu API đã ký, đảm bảo rằng khóa riêng của bạn vẫn an toàn.
Những Suy Nghĩ Cuối Cùng
Bảo mật các khóa API của bạn là rất quan trọng để bảo vệ tài sản của bạn và đảm bảo tương tác an toàn với các ứng dụng bên ngoài. Bằng cách tuân theo các thực hành tốt nhất như không chia sẻ các khóa API của bạn, quản lý quyền truy cập cẩn thận, lưu trữ các khóa một cách an toàn, sử dụng danh sách trắng IP và tận dụng các cặp khóa bất đối xứng, bạn có thể giảm đáng kể rủi ro truy cập trái phép và khả năng mất tiền. Hãy luôn cảnh giác và chủ động trong việc quản lý các khóa API của bạn để luôn giữ an toàn cho tài sản kỹ thuật số của bạn trên Binance.
Đọc Thêm
Cách Nhận Diện và Tránh Các Lừa Đảo Tiền Điện Tử Thường Gặp
Dịch Vụ Khôi Phục Gian Lận: Cách Không Bị Lừa Hai Lần
Cách Nhận Diện và Tránh Các Lừa Đảo P2P và Gian Lận