Poin Penting

  • Menggunakan pasangan kunci RSA saat berdagang melalui API Binance membuat permintaan Anda jauh lebih sulit untuk dipalsukan dibandingkan dengan penandatanganan berbasis HMAC yang lebih sederhana.

  • Pemasangan daftar putih alamat IP di kunci API Anda berarti bahwa setiap upaya akses dari IP yang tidak dikenali akan diblokir secara otomatis.

  • Mengatur kode anti-phishing memungkinkan Anda untuk segera memverifikasi apakah email atau SMS yang mengaku berasal dari Binance adalah sah.

  • Mengaktifkan autentikasi dua faktor (2FA) melalui aplikasi autentikator atau kunci keamanan hardware melindungi akun Anda bahkan jika kata sandi Anda terkompromi.

  • Menggabungkan daftar putih alamat penarikan dengan kata sandi yang kuat, unik, dan pengelola kata sandi yang terpercaya menambah lapisan perlindungan lebih lanjut.

Binance Academy courses banner

Pendahuluan

Seiring dengan meningkatnya nilai dan adopsi aset digital, mereka juga menarik ancaman keamanan yang lebih canggih. Melindungi akun Binance memerlukan lebih dari sekadar kata sandi yang kuat. Platform ini menyediakan rangkaian alat keamanan bawaan yang, ketika digunakan bersama-sama, secara substansial mengurangi paparan Anda terhadap akses tidak sah, eksploitasi API, dan serangan phishing.

Artikel ini menjelaskan lima langkah spesifik yang dapat Anda ambil untuk meningkatkan keamanan akun Binance Anda, dari autentikasi API hingga verifikasi email.

5 Langkah Keamanan untuk Menjaga Akun Binance Anda Aman

1. Gunakan Pasangan Kunci RSA untuk Perdagangan API

Jika Anda menggunakan API Binance untuk berdagang secara programatis, memilih metode tanda tangan yang tepat adalah keputusan keamanan yang penting. Pasangan kunci RSA (Rivest-Shamir-Adleman) terdiri dari dua kunci yang secara matematis terkait: kunci publik dan kunci pribadi. Anda mendaftarkan kunci publik dengan Binance, dan sistem Anda menggunakan kunci pribadi untuk menandatangani setiap permintaan API. Binance kemudian memverifikasi tanda tangan menggunakan kunci publik Anda. Karena hanya pemegang kunci pribadi yang dapat menghasilkan tanda tangan yang valid, metode ini sangat tahan terhadap pemalsuan. Untuk walkthrough yang lebih detail tentang cara ini bekerja, lihat Penjelasan Tanda Tangan RSA.

RSA dianggap lebih aman untuk penandatanganan API daripada autentikasi berbasis HMAC, di mana kunci rahasia yang sama digunakan untuk menandatangani dan memverifikasi. Dengan RSA, kunci pribadi Anda tidak perlu meninggalkan sistem Anda. Untuk gambaran yang lebih luas tentang jenis kunci API dan implikasi keamanannya, lihat jenis kunci API dan jenis keamanan.

Anda dapat menghasilkan pasangan kunci RSA dan mendaftarkannya melalui bagian manajemen API di pengaturan akun Binance Anda.

2. Atur Pembatasan Akses IP

Daftar putih alamat IP di kunci API Anda membatasi akses sehingga hanya permintaan yang berasal dari alamat IP yang disetujui yang diterima. Setiap panggilan API dari alamat IP yang tidak ada di daftar putih Anda akan diblokir secara otomatis, terlepas dari apakah permintaan tersebut ditandatangani dengan benar.

Ini adalah kontrol yang sangat berharga untuk pengaturan perdagangan otomatis di mana kunci API Anda berjalan dari server tetap atau set mesin yang dikenal. Bahkan jika kredensial kunci API Anda entah bagaimana terpapar, penyerang yang beroperasi dari alamat IP yang berbeda tidak akan dapat menggunakannya.

Anda dapat mengonfigurasi pembatasan akses IP melalui pengaturan manajemen API di akun Binance Anda. Layak untuk menerapkan daftar putih IP di semua kunci API yang Anda buat, tidak hanya yang memiliki izin penarikan.

3. Atur Kode Anti-Phishing

Serangan phishing yang menargetkan pengguna Binance sering melibatkan email atau pesan SMS yang meniru komunikasi resmi, terkadang menyertakan nama dan detail akun Anda. Kode anti-phishing adalah fitur yang membantu Anda membedakan pesan Binance yang asli dari yang palsu. Untuk latar belakang tentang bagaimana serangan phishing bekerja secara umum, Akademi memiliki penjelasan khusus.

Setelah diaktifkan, setiap email resmi dan SMS dari Binance akan menyertakan kode unik yang Anda atur. Jika sebuah pesan tidak mengandung kode Anda, atau mengandung kode yang berbeda, Anda dapat menganggapnya sebagai penipuan terlepas dari seberapa meyakinkannya tampak.

Cara mengaturnya

  • Masuk ke akun Binance Anda dan pergi ke pengaturan Keamanan.

  • Pilih Kode Anti-Phishing.

  • Buat kode unik menggunakan campuran huruf dan angka. Hindari sesuatu yang jelas seperti nama, tanggal lahir, atau urutan sederhana.

  • Konfirmasi dengan metode 2FA Anda.

Kode muncul segera di semua komunikasi resmi berikutnya dari Binance. Jika Anda mencurigai kode Anda telah terpapar, Anda dapat memperbaruinya kapan saja melalui halaman pengaturan yang sama.

4. Aktifkan Autentikasi Dua Faktor yang Kuat

Autentikasi dua faktor menambahkan langkah kedua yang diperlukan di luar kata sandi Anda saat masuk atau menyetujui tindakan sensitif. Bahkan jika penyerang mendapatkan kata sandi Anda, mereka masih memerlukan faktor kedua Anda untuk melanjutkan. Tidak semua metode 2FA menawarkan tingkat perlindungan yang sama.

Aplikasi autentikator (disarankan)

Aplikasi autentikator seperti Google Authenticator atau Binance Authenticator menghasilkan kode sekali pakai berbasis waktu langsung di perangkat Anda tanpa melalui operator seluler Anda. Ini membuatnya kebal terhadap serangan SIM-swap, di mana penipu meyakinkan operator untuk mentransfer nomor telepon Anda ke SIM yang mereka kendalikan, memperoleh akses ke kode SMS Anda. Aplikasi autentikator adalah standar minimum yang disarankan untuk akun Binance.

2FA berbasis SMS

Kode SMS lebih baik daripada tidak ada 2FA, tetapi memiliki risiko SIM-swap. Jika Anda saat ini menggunakan 2FA berbasis SMS, beralih ke aplikasi autentikator adalah peningkatan yang mudah dan layak dilakukan.

Kunci keamanan hardware (YubiKey)

Kunci keamanan hardware seperti YubiKey adalah perangkat fisik yang harus ada untuk mengautentikasi login. Ini terhubung ke perangkat Anda melalui USB atau terhubung melalui NFC. Karena tidak dapat dicegat dari jarak jauh, ini adalah salah satu metode 2FA yang paling efektif yang tersedia. Bahkan jika penyerang memiliki nama pengguna, kata sandi, dan nomor telepon Anda, mereka tetap tidak dapat masuk tanpa akses fisik ke kunci tersebut. Untuk panduan lebih lanjut tentang perangkat keamanan fisik, lihat Sepuluh Tips Menggunakan Dompet Hardware dengan Aman, yang mencakup prinsip-prinsip terkait perlindungan berbasis hardware.

5. Gunakan Daftar Putih Penarikan dan Kata Sandi yang Kuat

Daftar putih alamat penarikan

Daftar putih alamat penarikan memungkinkan Anda menentukan alamat dompet mana yang diizinkan untuk menerima dana dari akun Binance Anda. Setiap permintaan penarikan ke alamat yang tidak ada di daftar putih Anda akan diblokir secara otomatis. Ini berarti bahwa bahkan dalam skenario terburuk di mana penyerang mendapatkan akses ke akun Anda, mereka tidak dapat mengirim dana Anda ke alamat yang mereka kendalikan jika alamat itu belum ada di daftar putih.

Ketika Anda menambahkan alamat baru ke daftar putih Anda, Binance memberlakukan periode tunggu 24 hingga 48 jam sebelum alamat itu menjadi aktif. Penundaan ini memberi Anda waktu untuk menangkap dan membatalkan perubahan yang tidak sah sebelum dana dapat dipindahkan.

Kebersihan kata sandi

  • Gunakan kata sandi yang unik: Kata sandi Binance Anda tidak boleh digunakan di layanan lain. Menggunakan kembali kata sandi berarti pelanggaran di satu platform dapat mengkompromikan semua platform lain di mana Anda menggunakan kredensial yang sama.

  • Buatlah kompleks: Gabungkan huruf besar dan kecil, angka, dan karakter khusus. Usahakan setidaknya 12 karakter.

  • Gunakan pengelola kata sandi: Pengelola kata sandi yang terpercaya menghasilkan dan menyimpan kata sandi yang kuat dan unik sehingga Anda tidak perlu mengingatnya. Ini juga memudahkan untuk menggunakan kata sandi yang berbeda di mana pun.

  • Jangan bagikan: Tidak ada perwakilan dukungan Binance yang sah yang akan meminta kata sandi Anda. Anggap setiap permintaan untuk itu sebagai sinyal bahaya.

  • Ubah ketika terkompromi: Panduan keamanan saat ini merekomendasikan untuk mengubah kata sandi Anda ketika Anda memiliki alasan untuk percaya bahwa kata sandi tersebut mungkin telah terpapar, bukan pada jadwal tetap. Perubahan rutin yang dapat diprediksi (seperti rotasi bulanan) seringkali menyebabkan modifikasi kecil yang menawarkan sedikit manfaat keamanan yang nyata.

FAQ

Apa perbedaan antara RSA dan HMAC untuk kunci API Binance?

Baik RSA maupun HMAC adalah metode untuk menandatangani permintaan API untuk membuktikan bahwa itu berasal dari Anda. Dengan HMAC, kunci rahasia yang sama digunakan untuk menandatangani dan memverifikasi — artinya Anda perlu membagikannya dalam bentuk yang dapat diverifikasi oleh Binance. Dengan RSA, Anda sepenuhnya menyimpan kunci pribadi untuk diri sendiri dan hanya membagikan kunci publik dengan Binance. RSA umumnya dianggap lebih aman karena kunci tanda tangan Anda tidak pernah harus meninggalkan sistem Anda sendiri.

Di mana saya dapat menemukan pengaturan daftar putih IP di akun Binance saya?

Daftar putih IP untuk kunci API ditemukan di bawah Manajemen API di pengaturan akun Binance Anda. Anda dapat menambahkan alamat IP yang disetujui saat membuat atau mengedit kunci API. Perlu dicatat bahwa ini berlaku per kunci API, jadi layak untuk mengaturnya di setiap kunci yang Anda gunakan, tidak hanya yang memiliki izin tinggi.

Apakah kode anti-phishing muncul di setiap pesan dari Binance?

Setelah diaktifkan, kode anti-phishing Anda harus muncul di semua email dan pesan SMS resmi dari Binance. Jika Anda menerima pesan yang mengaku berasal dari Binance tetapi tidak menyertakan kode Anda, atau menyertakan kode yang salah, anggap itu sebagai upaya phishing dan jangan klik tautan atau memberikan informasi apa pun.

Apakah YubiKey lebih baik daripada aplikasi autentikator untuk 2FA Binance?

Kunci keamanan hardware seperti YubiKey umumnya dianggap lebih aman daripada aplikasi autentikator karena memerlukan keberadaan fisik dan tidak dapat dicegat dari jarak jauh. Namun, aplikasi autentikator adalah peningkatan besar dibandingkan 2FA berbasis SMS dan merupakan opsi praktis yang tersedia secara luas. Pilihan terbaik tergantung pada model ancaman Anda dan bagaimana Anda mengakses akun Anda. Keduanya jauh lebih baik daripada 2FA berbasis SMS.

Apa yang terjadi jika saya mencoba menarik ke alamat yang tidak ada di daftar putih saya?

Penarikan akan diblokir secara otomatis. Untuk mengirim dana ke alamat baru, Anda perlu menambahkannya ke daftar putih terlebih dahulu, yang memicu penundaan keamanan 24 hingga 48 jam sebelum alamat itu menjadi aktif. Penundaan ini disengaja: memberi Anda waktu untuk meninjau dan membatalkan perubahan jika itu tidak dibuat oleh Anda.

Pemikiran Penutup

Lima langkah yang dibahas di sini, penandatanganan API RSA, pembatasan akses IP, kode anti-phishing, 2FA yang kuat, dan daftar putih penarikan dengan praktik kata sandi yang solid, bekerja paling baik ketika digunakan bersama-sama. Masing-masing menutup vektor serangan yang berbeda: pencurian kredensial API, akses jarak jauh yang tidak sah, phishing, pengambilalihan akun, dan penarikan yang tidak sah. Untuk dasar yang lebih luas dari kebiasaan keamanan digital, lihat Prinsip Keamanan Umum.

Seiring ancaman berkembang, penting untuk secara berkala meninjau pengaturan keamanan Anda untuk memastikan semuanya masih dikonfigurasi sebagaimana dimaksud dan bahwa Anda tidak meninggalkan pengaturan yang lebih lama dan lebih lemah.

Bacaan Lebih Lanjut

  • Apa itu Autentikasi Dua Faktor (2FA)?

  • Penjelasan Tanda Tangan RSA: Cara Mengamankan Komunikasi API Binance

  • Sepuluh Tips untuk Menggunakan Dompet Hardware dengan Aman

  • Apa itu Phishing dan Bagaimana Cara Kerjanya?

  • Prinsip Keamanan Umum

Penafian: Konten ini disajikan kepada Anda berdasarkan "apa adanya" untuk informasi umum dan/atau tujuan pendidikan saja, tanpa representasi atau jaminan apa pun. Ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau profesional lainnya, juga tidak dimaksudkan untuk merekomendasikan pembelian produk atau layanan tertentu. Anda harus mencari nasihat Anda sendiri dari penasihat profesional yang sesuai. Di mana konten tersebut disumbangkan oleh kontributor pihak ketiga, harap dicatat bahwa pandangan yang diungkapkan tersebut adalah milik kontributor pihak ketiga, dan tidak mencerminkan pandangan Binance Academy. Harga aset digital dapat berfluktuasi. Nilai investasi Anda dapat turun atau naik dan Anda mungkin tidak mendapatkan kembali jumlah yang diinvestasikan. Anda bertanggung jawab sepenuhnya atas keputusan investasi Anda dan Binance Academy tidak bertanggung jawab atas kerugian yang mungkin Anda alami. Untuk informasi lebih lanjut, lihat Ketentuan Penggunaan, Peringatan Risiko, dan Ketentuan Binance Academy.