Как посмотреть секретный ключ бинанс
Перейти к содержимому

Как посмотреть секретный ключ бинанс

  • автор:

Как безопасно использовать ключ API: 5 советов от Binance

С помощью ключей программного интерфейса приложения (API) можно предоставлять определенным программам доступ к данным пользователя и позволять им выполнять действия от его имени. Однако при неправильном хранении и использовании ключи API становятся уязвимы к атакам. Если их украдут или подделают злоумышленники, они смогут получить доступ к средствам пользователей. Обеспечьте безопасность своих активов с помощью пяти советов Binance по защите ключей API.

1. Не передавайте свой ключ третьим лицам

Секретный ключ (HMAC) и приватный ключ (RSA) вашего ключа API — это конфиденциальная информация. Настоятельно рекомендуем никому ее не разглашать. С помощью этих данных любой человек сможет инициировать API-запрос от вашего имени и даже не будет обнаружен системой мониторинга рисков.

Помимо этого, не забывайте проверять активные ключи API на странице управления API . Если вы подозреваете, что безопасность ключа API была нарушена, незамедлительно удалите его и замените новым. Стоит время от времени удалять старые ключи API и заменять их на новые подобно тому, как на некоторых платформах требуется менять пароли каждые 30–90 дней независимо от частоты использования.

2. Управляйте доступом осторожно

Ключи API — это полезные инструменты для автоматизированной торговли, мониторинга позиций и рисков, а также налогов. Поэтому может возникнуть соблазн включить все разрешения для одного ключа API и использовать его для нескольких целей — например, для торговли через API и запроса данных. Однако от этого серьезно пострадает безопасность ключа: если он будет скомпрометирован, хакер получит полный доступ к аккаунту и средствам.

Мы рекомендуем использовать ключ API для одной задачи и включать только необходимые разрешения. Например, если вы хотите отслеживать торговые риски, составлять отчеты по налогам и осуществлять торговлю на споте и фьючерсах по API, создайте не менее четырех ключей — по одному для каждой задачи:

  1. Спотовая торговля
  2. Торговля фьючерсами
  3. Запрос налоговых сведений
  4. Запрос сведений о торговле (разрешение только для чтения)

На Binance можно создать до 30 ключей API для каждого субаккаунта.

3. Безопасно храните данные ключа API

Как упоминалось выше, если ключи API попадут в руки злоумышленника, он может украсить ваши активы. Как и приватные ключи, данные API нужно хранить в безопасности. Используйте шифровальные программы или надежный сервис управления конфиденциальными данными. Избегайте облачных решений для хранения ключей API, так как они могут быть уязвимы для взлома.

Помимо этого, не рекомендуется хранить ключ API в исходном коде или хранилище вашего приложения.

Вместо этого данные ключа API можно хранить в файлах или переменных средах вне используемой сторонней системы управления — это поможет защитить конфиденциальную информацию.

Поскольку приватные ключи RSA поддерживают защиту паролем, лучше добавить к каждому такому ключу пароль.

4. Используйте белый список IP-адресов

Binance настоятельно рекомендует пользователям использовать белый список IP-адресов для всех ключей API, независимо от их разрешений и назначения. Белый список IP-адресов ограничивает доступ к вашим ключам API: с его помощью к ним могут подключиться только разрешенные IP-адреса. Это не позволит злоумышленникам использовать ваши ключи API даже в случае их взлома. Обязательно составьте белый список IP-адресов, которым будет одобрен доступ к вашим ключам API.

Остерегайтесь мошенников

Хотя хакеры не смогут вывести средства через ключ API без добавления IP-адреса в белый список, крайне важно обеспечить защиту ключей API. Ведь если злоумышленник получит к ним доступ, он сможет использовать небольшие суммы для парного трейдинга и постепенно выводить активы из вашего кошелька. Хакер будет продавать вам ненужные активы в обмен на ваши «голубые фишки» (BTC, BNB, BUSD и т. д.) и в конечном итоге оставит вас с альткоинами, которые вы не собирались приобретать. Другими словами, он может использовать ключи API для обмена ваших выгодных активов на свои активы с низкой ликвидностью.

В целях предотвращения подобного мошенничества в декабре 2022 года Binance внедрила политику автоматического удаления ключей API. Если ваш ключ API не внесен в белый список IP-адресов и неактивен в течение 30 дней, он будет удален. Во избежание автоматического удаления создайте белый список IP-адресов.

5. Используйте пары ключей RSA

Пара ключей RSA (Rivest-Shamir-Adleman) — это механизм, использующий публичный и приватный ключи для защиты передачи данных.

При использовании пары ключей RSA приватный ключ, необходимый для создания подписей, остается конфиденциальным. То есть пока приватный ключ хранится в секрете, никто другой не сможет инициировать аутентичный запрос от вашего имени.

Binance добавила поддержку ключей API RSA

Binance добавила поддержку ключей API RSA . Теперь вы можете создавать пары публичных и приватных ключей RSA, регистрировать публичный ключ на Binance и использовать соответствующий приватный ключ для создания и подписи API-запросов.

Как создать пару ключей RSA на Binance

  1. Скачайте последнюю версию официального генератора ключей RSA .
  1. Запустите приложение. В нем можно генерировать, копировать и сохранять ключи, а также настраивать их размер.
  1. Зарегистрируйте свой ключ RSA через приложение Binance, открыв Профиль —Управление API— Создать API — Ключ API, сгенерированный самостоятельно .
  1. Скопируйте публичный ключ из генератора ключей RSA и вставьте его в поле для регистрации.
  1. Укажите имя API-ключа, нажмите Далее и выполните двухфакторную аутентификацию для завершения регистрации.

Дополнительная информация

  • (Анонс) Binance добавила поддержку API-ключей RSA (29.12.2022)
  • (Блог) Как выявить и защититься от мошенничества с участием самозванцев
  • (Блог) Мошенничество с возвратом средств: как не попасться на обман дважды
  • (Блог) Как распознать и избежать мошенничества при P2P-торговле
  • (Блог) Мошенники создали ИИ-голограмму меня для обмана криптопроектов

Как создавать API-ключи на Binance

API позволяет подключаться к серверам Binance с помощью различных языков программирования, и использовать получаемые из Binance данные в сторонних приложениях. Например, в них можно просматривать информацию о кошельке и данные о транзакциях, совершать сделки, вводить и выводить средства через сторонние программы.

Обратите внимание, что перед созданием API-ключа вам необходимо пополнить спотовый кошелек на любую сумму, чтобы активировать аккаунт и пройти верификацию личности .

Дополнительные сведения об API Binance см. в документации GitHub.

Как создать ключ Binance API

1. Войдите в аккаунт Binance и выберите ПрофильУправление API .

2. Нажмите Создать API.
Обратите внимание, что перед созданием API-ключа вы должны:

  • активировать двухфакторную аутентификацию (2FA) на своем аккаунте;
  • внести любую сумму на спотовый кошелек для активации аккаунта;
  • пройти проверку личности.

Более подробную информацию об API налоговой отчетности можно найти в нашей статье Как сформировать налоговую отчетность на Binance и другие часто задаваемые вопросы.

3. Выберите предпочитаемый тип API-ключа.

  • Ключ API, сгенерированный системой Binance, работает с использованием метода симметричного шифрования HMAC. Вы получите ключ API и секретный ключ.
  • Ключ API, сгенерированный самостоятельно, использует метод асимметричного шифрования Ed25519 или RSA. Вы получите ключ API, но вам будет необходимо сгенерировать свой публичный и приватный ключи с помощью специального программного обеспечения, а затем предоставить Binance только публичный ключ.
    Дополнительные сведения о самогенерируемых API-ключах см. в статье Как сгенерировать пару ключей Ed25519, чтобы отправлять API-запросы на Binance.

4. Введите метку/название API-ключа.

5. Подтвердите запрос с помощью устройств двухфакторной аутентификации и Passkey.

6. API-ключ готов.

Почему я не могу включить какое-либо разрешение, кроме чтения?

Мы настоятельно рекомендуем не включать API-ключи для дополнительных разрешений (кроме чтения) без установки соответствующих ограничений доступа по IP (API-ключи с неограниченным доступом по IP). Ключи HMAC API с неограниченным доступом по IP не смогут включить никакие разрешения, кроме чтения. Если вы хотите активировать другие разрешения, добавьте ограничения доступа по IP, используйте самостоятельно сгенерированные ключи (например, Ed25519 или RSA) или отключите элементы управления безопасностью.

Почему я не могу включить разрешение на вывод средств?

Для включения разрешения на вывод средств необходимо добавить ограничения доступа по IP.

Почему с помощью моего API ключа нельзя активировать разрешение на торговлю фьючерсами?

Если ключ API был создан до того, как вы открыли фьючерсный аккаунт, или вы активировали маржу портфеля, сервис API для фьючерсов не будет поддерживаться.

Binance регулярно обновляет свои API-сервисы, чтобы они соответствовали новейшим отраслевым стандартам.

  • С 03:00 09.08.2021 г. (UTC) создавать новые API-ключи могут только пользователи, прошедшиеверификацию Plus. Существующие API-ключи в аккаунтах, прошедших только обычную верификацию, были деактивированы в 00:00 23.08.2021 г. (UTC). Дополнительную информацию можно найти в этом объявлении.
  • С 00:00 30.01.2023 г. (UTC) для сгенерированного системой API-ключа можно выбрать разрешение «Разрешить чтение» только при отсутствии ограничений для IP.

Настройка API ключа на бирже Binance

Для начала работы с ботом вам нужно получить API-ключ в личном кабинете на бирже Бинанс. API- key состоит из двух ключей, сам API- key + Secret-key.

Для создания API ключа необходимо:

  1. Зайти в аккаунт на https://www.binance.com

2. В вашем личном кабинете на бирже Binance есть вкладка Центр пользователя. Она находится в верхнем правом углу, рядом с выбором языков. Наведите курсор мышки на иконку человечка и появится ниспадающее меню, в нем вам нужно выбрать — Центр пользователя. На странице Центр пользователя переходим по ссылке — Параметры API.

3. Далее вам нужно ввести название для вашего будущего API ключа. Например — Cryptocurrency Assistant и нажать на кнопку Создать новый ключ.

4. После этого вам будет отправлено письмо в котором нужно перейти по ссылке или нажать на кнопку Confirm Create. Письмо посылается на адрес электронной почты, который вы указали при регистрации на бирже.

Вы подтвердите создание API ключа и перейдете на страницу с данными ключа. На изображении ниже видно, что ключ создан.

6. После создания ключа нужно нажать на Редактировать и снять галочку напротив Разрешить торговать. Тем самым вы запрещаете ведение торговли через этот ключ.

Оставляем только возможность получать через данный API-ключ информацию о вашем аккаунте.

Запуск бота

Как запустить бота Cryptocurrency Assistant?

Укажите API ключ в начале работы с ботом. Боту требуется несколько минут для сбора всей статистики по вашему аккаунту. Когда бот будет готов к работе вы получите уведомление — Поздравляем! Данные успешно собраны. Можно приступать к работе.
После этого вы сможете получать отчеты и уведомления о торговых операциях.

Если у вас остались вопросы, задавайте их в чате поддержки бота t.me/Cryptocurrency_Assistant

Что такое API-ключ и как использовать его безопасно

Ключ программного интерфейса приложения (API) — это уникальный код, используемый API для идентификации приложения или пользователя. API-ключи используются для отслеживания и контроля того, кто и как использует API, а также для аутентификации и авторизации приложений аналогично паролям и логинам. API-ключ может представлять собой один ключ или набор из нескольких ключей. Пользователям стоит уделять внимание их безопасности, чтобы защититься от кражи и утечки данных.

API и API-ключ

Чтобы понять, что такое API-ключ, необходимо сначала рассмотреть сам API. Программный интерфейс приложения , или API, — это программный посредник, обеспечивающий обмен информацией между двумя или более приложениями. Например, API CoinMarketCap позволяет другим приложениям получать и использовать данные о криптовалютах, такие как цена, объем и рыночная капитализация.

API-ключ может представлять собой один ключ или набор из нескольких ключей. Различные системы используют эти ключи для аутентификации и авторизации приложений, подобно логинам и паролям. API-ключ используется клиентом API для аутентификации приложения, вызывающего API.

Например, если Binance Academy хочет использовать API CoinMarketCap, то CoinMarketCap сгенерирует API-ключ и использует его для аутентификации Binance Academy (клиента API), который запрашивает доступ к API. Когда Binance Academy обращается к API CoinMarketCap, API-ключ отправляется в CoinMarketCap вместе с запросом.

В этом примере только Binance Academy может использовать API-ключ, не передавая его третьим лицам. Передача этого API-ключа позволит третьей стороне получить доступ к CoinMarketCap и выполнять действия от лица Binance Academy.

Помимо этого, API CoinMarketCap может использовать API-ключ для подтверждения того, что приложение авторизовано для доступа к запрашиваемому ресурсу. Владельцы API также могут использовать API-ключи для отслеживания активности API, в том числе типов, трафика и объема запросов.

Что такое API-ключ

API-ключ используется для контроля и отслеживания того, кто и как использует API. Сам термин «API-ключ» может иметь несколько значений. Некоторые системы имеют только один код, а другие — несколько кодов для одного API-ключа.

Иными словами, API-ключ — это уникальный код или набор уникальных кодов, используемых API для аутентификации и авторизации вызывающего пользователя или приложения. Одни коды используются для аутентификации, а другие — для создания криптографических подписей, подтверждающих легитимность запроса.

Эти коды аутентификации и называются «API-ключом», тогда как коды для создания криптографических подписей имеют различные названия, такие как «секретный ключ», «публичный ключ» или «приватный ключ». Аутентификация подразумевает идентификацию вовлеченных субъектов и подтверждение личности.

Авторизация, в свою очередь, определяет сервисы API, к которым разрешен доступ. API-ключ работает аналогично логину и паролю аккаунта, а также может быть связан с другими функциями защиты для повышения общей безопасности.

Владелец API генерирует каждый API-ключ специально для конкретного субъекта (подробнее об этом ниже), и при каждом вызове конечной точки API с необходимостью аутентификации и/или авторизации пользователя используется соответствующий ключ.

Криптографические подписи

Некоторые API-ключи используют криптографические подписи в качестве дополнительного уровня верификации. Когда пользователь хочет передать определенные данные в API, к запросу можно добавить цифровую подпись, сгенерированную другим ключом. При помощи криптографии владелец API сможет проверить соответствие цифровой подписи отправленным данным.

Симметричные и асимметричные подписи

Для подписания данных, отправляемых через API, используются криптографические ключи следующих категорий:

Симметричные ключи

Они предполагают использование одного секретного ключа для подписания данных и проверки подписи. При использовании симметричных ключей владелец API генерирует API-ключ и секретный ключ, который предназначен для проверки подписи сервисами API. Основное преимущество использования единичного ключа заключается в том, что это ускоряет процесс генерации и проверки подписи и требует меньше вычислительной мощности. В качестве примера хорошего симметричного ключа можно привести HMAC.

Асимметричные ключи

Они предполагают использование двух ключей: приватного и публичного, которые отличаются друг от друга, но имеют криптографическую связь. Приватный ключ используется для генерации подписи, а публичный — для ее проверки. Владелец API генерирует API-ключ, а пользователь — приватный и публичный ключи. Для проверки подписи владелец API использует только публичный ключ, тогда как приватный ключ хранится в секрете.

Основное преимущество использования асимметричных ключей — повышенная безопасность за счет разделения задач генерации и проверки подписи. Это позволяет внешним системам проверять подписи без возможности генерировать их. Помимо этого, некоторые системы асимметричного шифрования поддерживают добавление пароля к приватным ключам. В качестве примера можно привести пару ключей RSA.

Безопасность API-ключей

Ответственность за безопасность API-ключа лежит на пользователе . API-ключи выполняют функцию паролей и требуют такого же осторожного обращения. Не стоит передавать API-ключ третьим лицам, так как это будет аналогично передаче пароля и может подвергнуть аккаунт риску.

API-ключи нередко становятся мишенью кибератак, поскольку они могут использоваться для выполнения важных системных операций, таких как запрос личной информации или выполнение финансовых транзакций. Уже бывали случаи, когда злоумышленники атаковали онлайн-базы данных с кодами и похищали API-ключи.

Хищение API-ключей может привести к негативным последствиям и значительным финансовым потерям. Более того, некоторые API-ключи не имеют срока действия, поэтому злоумышленники могут использовать их до отключения ключей.

Советы по безопасному использованию API-ключей

API-ключи открывают доступ к конфиденциальным данным, поэтому крайне важно использовать их безопасным образом. Следуйте следующим рекомендациям по надежному применению API-ключей:

  1. Старайтесь периодически менять API-ключи. Для смены ключа необходимо удалить текущий API-ключ и создать новый. При использовании нескольких систем операции по удалению и генерации API-ключей не составляют труда. Подобно тому, как некоторые системы требуют менять пароль каждые 30-90 дней, владельцы ключей должны по возможности менять API-ключи с такой же периодичностью.
  2. Составьте белый список IP-адресов. При создании нового API-ключа составьте список IP-адресов, которым будет разрешено использовать этот ключ (белый список IP-адресов). Помимо этого, также можно указать перечень заблокированных IP-адресов (черный список IP-адресов). Тогда в случае хищения ключа нераспознанный IP-адрес не сможет им воспользоваться.
  3. Используйте несколько API-ключей. Наличие нескольких ключей и распределение задач между ними снижает риски, поскольку безопасность аккаунта не будет зависеть от одного ключа, используемого сразу для всех задач. Помимо этого, для каждого ключа можно составить различные белые списки IP-адресов, тем самым значительно повысив уровень безопасности.
  4. Обеспечьте безопасное хранение API-ключей. Не храните ключи в общественных местах, на общедоступных компьютерах или в исходном текстовом формате. Для повышения безопасности каждого ключа используйте шифрование или сервис управления конфиденциальными данными и будьте внимательны, чтобы случайно их не раскрыть.
  5. Ни с кем не делитесь своими API-ключами. Предоставить кому-либо API-ключ — все равно что предоставить пароль. В этом случае третья сторона получает те же возможности аутентификации и авторизации, что и вы. В случае утечки данных API-ключ может быть украден и использован для взлома аккаунта. API-ключ должен применяться только вами и системой, которая его генерирует.

Если API-ключ попал в руки третьих лиц, обязательно отключите его для предотвращения дальнейшего ущерба. В случае финансовых потерь сделайте скриншоты ключевой информации об этом инциденте и свяжитесь с соответствующими организациями, а также подайте заявление в полицию. Так вы сможете повысить свои шансы на возврат потерянных средств.

В заключение

API-ключи выполняют функции аутентификации и авторизации, поэтому пользователи должны хранить их в надежном месте и пользоваться ими с осторожностью. Существует множество уровней и способов обеспечения безопасности API-ключей. С API-ключом необходимо обращаться так же, как и с паролем к вашему аккаунту.

Рекомендуемая литература

  • Общие принципы безопасности
  • 5 распространенных видов мошенничества с криптовалютами и как их избежать

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *