Главное

  • Ключи программного интерфейса приложения (API) могут предоставлять определенным программам удобный доступ к данным пользователя.

  • Если управлять ключами API неправильно, они могут быть скомпрометированы. Чтобы защитить свои активы, пользователям необходимо безопасно использовать свои ключи API.

  • Теперь Binance поддерживает пары ключей API RSA, которые повышают уровень безопасности. В этой статье мы подробно рассмотрим, как их создавать и использовать.

Ключи API необходимы для доступа к данным. Изучите 5 советов Binance по защите ключей API разными способами: от пар ключей RSA до белых списков.

С помощью ключей программного интерфейса приложения (API) можно предоставлять определенным программам доступ к данным пользователя и позволять им выполнять действия от его имени. Однако при неправильном хранении и использовании ключи API становятся уязвимы к атакам. Если их украдут или подделают злоумышленники, они смогут получить доступ к средствам пользователей. Обеспечьте безопасность своих активов с помощью пяти советов Binance по защите ключей API.

1. Не передавайте свой ключ третьим лицам

Секретный ключ (HMAC) и приватный ключ (RSA) вашего ключа API — это конфиденциальная информация. Настоятельно рекомендуем никому ее не разглашать. С помощью этих данных любой человек сможет инициировать API-запрос от вашего имени и даже не будет обнаружен системой мониторинга рисков.

Помимо этого, не забывайте проверять активные ключи API на странице управления API. Если вы подозреваете, что безопасность ключа API была нарушена, незамедлительно удалите его и замените новым. Стоит время от времени удалять старые ключи API и заменять их на новые подобно тому, как на некоторых платформах требуется менять пароли каждые 30–90 дней независимо от частоты использования.

2. Управляйте доступом осторожно

Ключи API — это полезные инструменты для автоматизированной торговли, мониторинга позиций и рисков, а также налогов. Поэтому может возникнуть соблазн включить все разрешения для одного ключа API и использовать его для нескольких целей — например, для торговли через API и запроса данных. Однако от этого серьезно пострадает безопасность ключа: если он будет скомпрометирован, хакер получит полный доступ к аккаунту и средствам.

Мы рекомендуем использовать ключ API для одной задачи и включать только необходимые разрешения. Например, если вы хотите отслеживать торговые риски, составлять отчеты по налогам и осуществлять торговлю на споте и фьючерсах по API, создайте не менее четырех ключей — по одному для каждой задачи:

  1. Спотовая торговля

  2. Торговля фьючерсами

  3. Запрос налоговых сведений

  4. Запрос сведений о торговле (разрешение только для чтения)

На Binance можно создать до 30 ключей API для каждого субаккаунта.

3. Безопасно храните данные ключа API

Как упоминалось выше, если ключи API попадут в руки злоумышленника, он может украсить ваши активы. Как и приватные ключи, данные API нужно хранить в безопасности. Используйте шифровальные программы или надежный сервис управления конфиденциальными данными. Избегайте облачных решений для хранения ключей API, так как они могут быть уязвимы для взлома.

Помимо этого, не рекомендуется хранить ключ API в исходном коде или хранилище вашего приложения. 

Вместо этого данные ключа API можно хранить в файлах или переменных средах вне используемой сторонней системы управления — это поможет защитить конфиденциальную информацию.

Поскольку приватные ключи RSA поддерживают защиту паролем, лучше добавить к каждому такому ключу пароль.

4. Используйте белый список IP-адресов

Binance настоятельно рекомендует пользователям использовать белый список IP-адресов для всех ключей API, независимо от их разрешений и назначения. Белый список IP-адресов ограничивает доступ к вашим ключам API: с его помощью к ним могут подключиться только разрешенные IP-адреса. Это не позволит злоумышленникам использовать ваши ключи API даже в случае их взлома. Обязательно составьте белый список IP-адресов, которым будет одобрен доступ к вашим ключам API.

Остерегайтесь мошенников

Хотя хакеры не смогут вывести средства через ключ API без добавления IP-адреса в белый список, крайне важно обеспечить защиту ключей API. Ведь если злоумышленник получит к ним доступ, он сможет использовать небольшие суммы для парного трейдинга и постепенно выводить активы из вашего кошелька. Хакер будет продавать вам ненужные активы в обмен на ваши «голубые фишки» (BTC, BNB, BUSD и т. д.) и в конечном итоге оставит вас с альткоинами, которые вы не собирались приобретать. Другими словами, он может использовать ключи API для обмена ваших выгодных активов на свои активы с низкой ликвидностью.

В целях предотвращения подобного мошенничества в декабре 2022 года Binance внедрила политику автоматического удаления ключей API. Если ваш ключ API не внесен в белый список IP-адресов и неактивен в течение 30 дней, он будет удален. Во избежание автоматического удаления создайте белый список IP-адресов.

5. Используйте пары ключей RSA

Пара ключей RSA (Rivest-Shamir-Adleman) — это механизм, использующий публичный и приватный ключи для защиты передачи данных.

При использовании пары ключей RSA приватный ключ, необходимый для создания подписей, остается конфиденциальным. То есть пока приватный ключ хранится в секрете, никто другой не сможет инициировать аутентичный запрос от вашего имени.

Binance добавила поддержку ключей API RSA

Binance добавила поддержку ключей API RSA. Теперь вы можете создавать пары публичных и приватных ключей RSA, регистрировать публичный ключ на Binance и использовать соответствующий приватный ключ для создания и подписи API-запросов. 

Как создать пару ключей RSA на Binance

  1. Скачайте последнюю версию официального генератора ключей RSA.

  1. Запустите приложение. В нем можно генерировать, копировать и сохранять ключи, а также настраивать их размер.

  1. Зарегистрируйте свой ключ RSA через приложение Binance, открыв Профиль - Управление API - Создать API - Ключ API, сгенерированный самостоятельно.

  1. Скопируйте публичный ключ из генератора ключей RSA и вставьте его в поле для регистрации.

  1. Укажите имя API-ключа, нажмите Далее и выполните двухфакторную аутентификацию для завершения регистрации.

Для получения более подробной информации изучите руководство Как сгенерировать пару ключей RSA для отправки API-запросов на Binance.

Дополнительная информация