Ключевые моменты
Использование пары RSA-ключей при торговле через API Binance значительно усложняет подделку ваших запросов по сравнению с более простым подписыванием на основе HMAC.
Белый список IP-адресов для ваших API-ключей означает, что любая попытка доступа с нераспознанного IP автоматически блокируется.
Настройка антифишингового кода позволяет вам мгновенно проверить, является ли электронное письмо или SMS, якобы от Binance, легитимным.
Включение двухфакторной аутентификации (2FA) через приложение-генератор кодов или аппаратный ключ безопасности защищает ваш аккаунт, даже если ваш пароль скомпрометирован.
Комбинирование белого списка адресов для вывода с надежным, уникальным паролем и надежным менеджером паролей добавляет дополнительные слои защиты.
Введение
По мере того как цифровые активы росли в цене и популярности, они также привлекли более сложные угрозы безопасности. Защита аккаунта Binance требует большего, чем просто надежный пароль. Платформа предоставляет ряд встроенных инструментов безопасности, которые, когда используются вместе, существенно снижают ваш риск несанкционированного доступа, эксплуатации API и атак фишинга.
Эта статья описывает пять конкретных мер, которые вы можете предпринять для повышения безопасности вашего аккаунта Binance, от аутентификации API до проверки электронной почты.
5 мер безопасности для защиты вашего аккаунта Binance
1. Используйте пару ключей RSA для API-трейдинга
Если вы используете API Binance для программной торговли, выбор правильного метода подписи является важным решением по безопасности. Пара ключей RSA (Ривест-Шамир-Адлеман) состоит из двух математически связанных ключей: публичного ключа и приватного ключа. Вы регистрируете публичный ключ в Binance, а ваша система использует приватный ключ для подписи каждого API-запроса. Затем Binance проверяет подпись, используя ваш публичный ключ. Поскольку только обладатель приватного ключа может создать действительную подпись, этот метод высоко защищен от подделки. Для подробного объяснения того, как это работает, смотрите Объяснение подписей RSA.
RSA считается более безопасным для подписи API, чем аутентификация на основе HMAC, где один и тот же секретный ключ используется как для подписи, так и для проверки. С RSA ваш приватный ключ никогда не должен покидать вашу систему. Для более широкого обзора типов ключей API и их последствий для безопасности смотрите Ключи API и типы безопасности.
Вы можете сгенерировать пару ключей RSA и зарегистрировать ее через раздел управления API в настройках вашего аккаунта Binance.
2. Настройте ограничения доступа по IP
Белый список IP-адресов на ваших ключах API ограничивает доступ так, чтобы принимались только запросы, исходящие из одобренных IP-адресов. Любой API-запрос с IP-адреса, не входящего в ваш белый список, автоматически блокируется, независимо от того, правильно ли подписан запрос.
Это особенно ценное управление для автоматизированных торговых настроек, где ваш ключ API работает с фиксированного сервера или известного набора машин. Даже если ваши учетные данные ключа API каким-то образом были скомпрометированы, злоумышленник, действующий с другого IP-адреса, не сможет их использовать.
Вы можете настроить ограничения доступа по IP через настройки управления API в вашем аккаунте Binance. Стоит применить белый список IP для всех ключей API, которые вы создаете, а не только для тех, у кого есть разрешения на вывод.
3. Настройте код против фишинга
Атаки фишинга, нацеленные на пользователей Binance, часто включают мошеннические электронные письма или SMS-сообщения, которые близко имитируют официальные коммуникации, иногда включая ваше имя и данные аккаунта. Код против фишинга — это функция, которая помогает вам отличить реальные сообщения Binance от фальшивок. Для получения дополнительной информации о том, как работают атаки фишинга в целом, Академия имеет специальное объяснение.
После активации каждое официальное электронное письмо и SMS от Binance будут включать уникальный код, который вы установили. Если сообщение не содержит вашего кода или содержит другой код, вы можете считать его мошенническим, независимо от того, насколько убедительно оно выглядит.
Как его настроить
Войдите в свой аккаунт Binance и перейдите к настройкам безопасности.
Выберите Код против фишинга.
Создайте уникальный код, используя смесь букв и цифр. Избегайте чего-либо очевидного, например, вашего имени, даты рождения или простых последовательностей.
Подтвердите с помощью вашего метода 2FA.
Код появляется сразу во всех последующих официальных сообщениях от Binance. Если вы подозреваете, что ваш код был скомпрометирован, вы можете обновить его в любое время через ту же страницу настроек.
4. Включите надежную двухфакторную аутентификацию
Двухфакторная аутентификация добавляет обязательный второй шаг помимо вашего пароля при входе или подтверждении чувствительных действий. Даже если злоумышленник получит ваш пароль, ему все равно нужен ваш второй фактор, чтобы продолжить. Не все методы 2FA предлагают одинаковый уровень защиты.
Приложение-аутентификатор (рекомендуется)
Приложение-аутентификатор, такое как Google Authenticator или Binance Authenticator, генерирует одноразовые коды на основе времени прямо на вашем устройстве, не проходя через вашего мобильного оператора. Это делает их невосприимчивыми к атакам с подменой SIM-карт, когда мошенники убеждают оператора перенести ваш номер телефона на SIM-карту, которую они контролируют, получая доступ к вашим SMS-кодам. Приложения-аутентификаторы являются рекомендуемым минимальным стандартом для аккаунтов Binance.
SMS-основанная 2FA
SMS-коды лучше, чем отсутствие 2FA, но они несут риск подмены SIM-карт. Если вы в настоящее время используете SMS-основанную 2FA, переход на приложение-аутентификатор — это простое улучшение, которое стоит сделать.
Аппаратный ключ безопасности (YubiKey)
Аппаратный ключ безопасности, такой как YubiKey, — это физическое устройство, которое должно быть в наличии для аутентификации входа. Он подключается к вашему устройству через USB или соединяется через NFC. Поскольку его нельзя перехватить удаленно, это один из самых эффективных методов 2FA. Даже если злоумышленник имеет ваше имя пользователя, пароль и номер телефона, он все равно не сможет войти без физического доступа к ключу. Для получения дополнительной информации о физических устройствах безопасности, смотрите Десять советов по безопасному использованию аппаратного кошелька, которые охватывают сопутствующие принципы защиты на аппаратном уровне.
5. Используйте белый список адресов для вывода и надежный пароль
Белый список адресов для вывода
Белый список адресов для вывода позволяет вам указать, какие адреса кошельков разрешены для получения средств с вашего аккаунта Binance. Любой запрос на вывод на адрес, не входящий в ваш белый список, автоматически блокируется. Это означает, что даже в худшем случае, когда злоумышленник получает доступ к вашему аккаунту, он не сможет отправить ваши средства на адрес, который он контролирует, если он не был уже включен в белый список.
Когда вы добавляете новый адрес в ваш белый список, Binance накладывает период ожидания от 24 до 48 часов, прежде чем этот адрес станет активным. Это задержка дает вам время заметить и отменить несанкционированное изменение, прежде чем какие-либо средства могут быть перемещены.
Гигиена пароля
Используйте уникальный пароль: ваш пароль для Binance не должен использоваться на каких-либо других сервисах. Повторное использование паролей означает, что утечка на одной платформе может скомпрометировать все остальные, где вы используете те же учетные данные.
Сделайте его сложным: комбинируйте заглавные и строчные буквы, цифры и специальные символы. Старайтесь иметь как минимум 12 символов.
Используйте менеджер паролей: надежный менеджер паролей генерирует и хранит сильные, уникальные пароли, чтобы вам не пришлось их запоминать. Это также упрощает использование другого пароля везде.
Не делитесь им: ни один законный представитель поддержки Binance никогда не спросит ваш пароль. Относитесь к любому запросу о нем как к красному флагу.
Меняйте его, когда он скомпрометирован: текущие рекомендации по безопасности предполагают изменение пароля, когда у вас есть основания полагать, что он мог быть скомпрометирован, а не по фиксированному расписанию. Рутинные, предсказуемые изменения (например, ежемесячные ротации) часто приводят к незначительным изменениям, которые не приносят реальной пользы для безопасности.
Часто задаваемые вопросы
В чем разница между RSA и HMAC для ключей API Binance?
Оба, RSA и HMAC, являются методами для подписания API-запросов, чтобы подтвердить, что они пришли от вас. При HMAC используется один и тот же секретный ключ для подписи и проверки, что означает, что вам нужно делиться им в форме, которую Binance может проверить. С RSA вы полностью сохраняете приватный ключ у себя и делитесь только публичным ключом с Binance. RSA обычно считается более безопасным, поскольку ваш ключ подписи никогда не должен покидать ваши собственные системы.
Где я могу найти настройки белого списка IP в своем аккаунте Binance?
Белый список IP для ключей API находится в разделе Управление API в настройках вашего аккаунта Binance. Вы можете добавить одобренные IP-адреса при создании или редактировании ключа API. Обратите внимание, что это применяется к каждому ключу API, поэтому имеет смысл установить это для каждого ключа, который вы используете, а не только для тех, у которых высокие разрешения.
Появляется ли код против фишинга в каждом сообщении от Binance?
После активации ваш код против фишинга должен появляться во всех официальных электронных письмах и SMS-сообщениях от Binance. Если вы получаете сообщение, которое, как утверждается, от Binance, но не содержит вашего кода или содержит неверный код, считайте это попыткой фишинга и не нажимайте на любые ссылки или не предоставляйте никакой информации.
Является ли YubiKey лучше, чем приложение-аутентификатор для 2FA Binance?
Аппаратный ключ безопасности, такой как YubiKey, обычно считается более безопасным, чем приложение-аутентификатор, поскольку он требует физического присутствия и не может быть перехвачен удаленно. Тем не менее, приложения-аутентификаторы являются значительным улучшением по сравнению с SMS-основанной 2FA и являются практичным, широко доступным вариантом. Лучший выбор зависит от вашей модели угрозы и того, как вы получаете доступ к своему аккаунту. Оба варианта значительно лучше, чем SMS-основанная 2FA.
Что произойдет, если я попытаюсь вывести средства на адрес, который не находится в моем белом списке?
Вывод будет автоматически заблокирован. Чтобы отправить средства на новый адрес, вам нужно сначала добавить его в ваш белый список, что вызывает 24-48 часов безопасности перед тем, как адрес станет активным. Эта задержка намеренная: она дает вам время на обзор и отмену изменения, если оно не было сделано вами.
Заключительные мысли
Пять мер, рассмотренных здесь: подпись API RSA, ограничения доступа по IP, код против фишинга, сильная 2FA и белый список адресов для вывода с надежной практикой паролей, работают лучше всего, когда используются вместе. Каждая из них закрывает разные векторы атаки: кражу учетных данных API, несанкционированный удаленный доступ, фишинг, захват аккаунта и несанкционированные выводы средств. Для более широкой основы цифровых привычек безопасности смотрите Общие принципы безопасности.
По мере развития угроз стоит периодически пересматривать настройки безопасности, чтобы убедиться, что все еще настроено так, как задумано, и что вы не оставили никаких старых, более слабых настроек.
Дополнительные материалы
Что такое двухфакторная аутентификация (2FA)?
Объяснение подписей RSA: как обеспечить безопасность коммуникаций API Binance
Десять советов по безопасному использованию аппаратного кошелька
Что такое фишинг и как он работает?
Общие принципы безопасности
Отказ от ответственности: Этот контент представлен вам на условиях «как есть» для общей информации и/или образовательных целей только без представительства или гарантии любого рода. Это не должно рассматриваться как финансовый, юридический или другой профессиональный совет, и не предназначено для рекомендации покупки какого-либо конкретного продукта или услуги. Вы должны искать собственный совет у соответствующих профессиональных консультантов. Если контент предоставлен третьей стороной, обратите внимание, что выраженные мнения принадлежат третьей стороне и не обязательно отражают мнения Binance Academy. Цены на цифровые активы могут быть волатильными. Стоимость ваших инвестиций может как упасть, так и вырасти, и вы можете не вернуть вложенную сумму. Вы несете полную ответственность за свои инвестиционные решения, и Binance Academy не несет ответственности за любые убытки, которые вы можете понести. Для получения дополнительной информации смотрите наши Условия использования, Предупреждение о рисках и Условия Binance Academy.