本文作者:admin

5个小技巧帮您安全使用API密钥

admin 2023-09-17 61
5个小技巧帮您安全使用API密钥摘要: 要点应用程序编程接口(API)密钥可用于授权某些程序更方便地获取用户数据。但是若API密钥未管理得当,可能会受到攻击。学习如何安全地使用API密钥至关重要,能防止您的资产受到损害。...

要点

  • 应用程序编程接口(API)密钥可用于授权某些程序更方便地获取用户数据。

  • 但是若API密钥未管理得当,可能会受到攻击。学习如何安全地使用API密钥至关重要,能防止您的资产受到损害。

  • 币安为提高安全性,已支持RSA API密钥对。了解如何生成并使用此密钥对。

使用API密钥后,用户可以更方便地获取他们的数据。币安为您提供了包括非对称式加密演算法(RSA)密钥对、IP白名单在内的5条小技巧,帮助您保障API密钥安全。

应用程序编程接口(API)密钥是授权特定程序读取用户数据的有效方式,程序可代表用户执行操作。但是如果未储存、使用得当,API密钥很可能会受到攻击。例如,不法分子可能会盗取或诱骗受害者的API密钥,从而获取受害者的资金。学习币安的5个API密钥安全措施,保障您的资产安全。

1.请勿与他人分享您的密钥

您的API密钥的秘密密钥(HMAC)和私钥(RSA)是高度敏感的数据。我们强烈建议您不要透露这一信息。有了密钥后,任何人都能代表您发起API请求,我们的风险监控系统也不会检测到。

您还应该经常在API管理页面检查您账户上有效的API密钥。如果您怀疑任何一个API密钥有被盗风险,不要迟疑,请立即删除并替换为新密钥。经常删除旧的API密钥并替换成新密钥也是很好的主意,类似于某些系统不管您是否经常使用,都要求30 - 90天更换一次密码。

2.勤于管理访问权限

API密钥是自动交易、头寸与风险监控以及税收的有用工具。因此,您可能想授权一个密钥完成多项任务,如API交易和数据查询。但这会降低密钥的安全性,如果您的API密钥被泄露,黑客可能会获得您账户和资金的全部访问权限。

为每一个应用程序设置单个API密钥,且只启用完成该任务的权限会更加安全。例如,如果您想监测交易风险、报告税收、进行API现货和合约交易,那您应当至少设置4个密钥,每个密钥只用于以下一个目的:

  1. 现货交易

  2. 合约交易

  3. 税务数据查询

  4. 交易数据查询(只读权限)

在币安,每个子账户可设置高达30个API密钥。

3.安全地储存API密钥数据

如上所述,如果您的API密钥落入不法分子手中,您的资产可能会受到损害。与您保护私钥的方式一样,请不要以纯文本的形式储存您的API详细信息,而应当将其加密或储存在可信的密钥管理服务中。您还应当避免将API密钥储存在云端,因为云端可能容易受到黑客攻击。

同样的,我们还建议您尽量避免将API密钥储存在应用程序源代码或仓库中。

可以考虑将API密钥数据储存在您在使用的第三方管理系统之外的文件或环境变量中,避免与其共享个人信息。

RSA私钥支持密码保护,因此使用RSA密钥的用户应当为每一RSA私钥都设置密码。

4.使用IP白名单

币安强烈建议用户为所有API密钥设置IP白名单,无论这些API密钥的权限或用途是什么。有了IP白名单后,您的API密钥只能从特定的IP地址访问。这样如果API密钥落入不法分子手中后,他们也无法使用密钥。因此,您应当将使用API密钥的所有IP地址都列在白名单内。

谨防诈骗

虽然IP地址不在白名单内将无法使用API密钥发起提现请求,但您仍需保护好您的API密钥。如果黑客盗取了您的密钥,他们可以将交易量相对小的资产进行配对交易,从而慢慢窃取您钱包中的资产。若黑客用您的蓝筹资产(比特币、币安币、BUSD等)买入他们账户中的您不需要资产,久而久之您账户中会只剩下从未打算购买的山寨币。换句话说,黑客用您的API密钥将您的资产与他们的市场流动性较低的资产进行交易。

为防止此类诈骗,币安在2022年12月实施了API密钥自动删除策略。如果您的API密钥未启用IP白名单,且30天内未使用,该密钥将被删除。为避免被自动删除,请您创建IP白名单。

5.使用RSA密钥对

RSA (Rivest-Shamir-Adleman)密钥对是一种使用公钥和私钥保护数据传输的机制。

使用RSA密钥对,不需要共享用于创建签名的私钥。也就是说,只要私钥保密且安全,就没有人能代表您发起真实的请求。

币安支持RSA API密钥

币安现已支持RSA API密钥。您现在可以创建RSA公钥和私钥对,在币安注册公钥,并使用对应的私钥创建已签名的API请求。 

如何在币安创建RSA密钥对?

  1. 下载官方最新版本的RSA密钥生成工具。

  1. 启动应用程序。您可以生成、复制或保存密钥。您还可以调整密钥的大小。

  1. 点击【个人资料】-【API管理】-【创建API】-【自生成API密钥】,即可在币安app注册RSA密钥。

  1. 在RSA密钥生成工具中复制公钥,并粘贴到框中进行注册。

  1. 输入您API密钥的名称,点击【下一步】,完成双重身份验证(2FA)后即可完成注册。

更多详细信息,请参阅我们的指南《如何生成RSA密钥对在币安发送API请求》。

延伸阅读

  • (公告)《币安现已支持RSA API密钥(2022-12-29)》

  • (博客)《如何识别并规避常见的加密货币骗局》

  • (博客)《资金追回服务骗局:如何避免重复受骗》

  • (博客)《如何识破并规避C2C骗局和欺诈》

  • (博客)《诈骗者创建我的AI全息图,欺诈毫无戒心的项目》

推荐阅读:

使用您的优选支付方式买卖TetherUS (USDT)

全面了解区块链和加密货币知识

通过学习区块链赚取加密货币