Cách an toàn để sử dụng khóa API: 5 mẹo từ Binance

Bởi

13/02/2023

Các nội dung chính

Các khóa giao diện lập trình ứng dụng (API) có thể dùng để cấp quyền truy cập thuận tiện vào dữ liệu người dùng cho một số chương trình nhất định.
Tuy nhiên, các khóa API có nguy cơ bị xâm phạm nếu không được quản lý đúng cách. Bạn nên học cách sử dụng khóa API an toàn để ngăn tài sản bị xâm phạm.
Binance hiện hỗ trợ các cặp khóa API RSA để tăng cường bảo mật. Tìm hiểu cách tạo và sử dụng các cặp khóa này.

Với khóa API, người dùng có thể truy cập vào dữ liệu của mình một cách thuận tiện. Từ cặp khóa RSA đến danh sách ưu tiên khóa API, hãy tìm hiểu 5 mẹo từ Binance để giữ an toàn cho khóa API của bạn.

Khóa giao diện lập trình ứng dụng (API) là một cách hiệu quả để cấp quyền truy cập vào dữ liệu người dùng cho một số chương trình nhất định, cho phép các chương trình này thay người dùng hành động. Tuy nhiên, các khóa API có thể mang lại nhiều lỗ hổng nếu không được lưu trữ và sử dụng đúng cách. Ví dụ: Những tác nhân độc hại ăn cắp hoặc tấn công giả mạo khóa API của nạn nhân có thể lấy quyền truy cập vào tiền của họ. Tìm hiểu cách giữ an toàn cho tài sản của bạn với 5 mẹo bảo mật khóa API của chúng tôi.

1. Không chia sẻ khóa của bạn với người khác

Khóa bí mật (HMAC) và khóa riêng tư (RSA) của khóa API của bạn là dữ liệu rất nhạy cảm. Bạn không nên tiết lộ thông tin này. Bất kỳ ai có thông tin này đều có thể thay mặt bạn khởi tạo một yêu cầu API mà không bị hệ thống giám sát rủi ro của chúng tôi phát hiện.

Bạn cũng nên thường xuyên kiểm tra các khóa API đang hoạt động trên tài khoản của mình thông qua trang quản lý API. Nếu bạn nghi ngờ rằng tính bảo mật của bất kỳ khóa API nào bị xâm phạm, đừng ngần ngại xóa khóa đó và thay thế bằng khóa mới. Bạn cũng nên thường xuyên xóa các khóa API cũ và thay thế bằng các khóa mới, tương tự như cách một số hệ thống yêu cầu thay đổi mật khẩu sau mỗi 30-90 ngày – bất kể bạn có chủ động sử dụng hay không.

2. Siêng năng quản lý truy cập

Khóa API là công cụ hữu ích đối với các giao dịch tự động, quá trình giám sát vị thế và rủi ro cũng như thuế. Do đó, rất có thể bạn sẽ có khuynh hướng cấp tất cả quyền cho một khóa API duy nhất để sử dụng cho nhiều mục đích, chẳng hạn như giao dịch API và truy vấn dữ liệu. Tuy nhiên, điều này làm giảm tính bảo mật của khóa – nếu khóa API của bạn bị xâm phạm, tin tặc có thể lấy toàn quyền truy cập vào tài khoản và tiền của bạn.

Sẽ an toàn hơn khi sử dụng một khóa API cho một ứng dụng duy nhất và chỉ cấp các quyền cần thiết cho mục đích đó. Ví dụ: nếu bạn muốn giám sát rủi ro giao dịch, báo cáo thuế và thực hiện giao dịch API Giao ngay và Hợp đồng tương lai, bạn nên tạo ít nhất bốn khóa, mỗi khóa cho một trong các mục đích sau:

Giao dịch giao ngay
Giao dịch hợp đồng tương lai
Truy vấn dữ liệu thuế
Truy vấn dữ liệu giao dịch (quyền chỉ đọc)

Trên Binance, bạn có thể tạo tối đa 30 khóa API cho mỗi tài khoản phụ.

3. Lưu trữ dữ liệu khóa API của bạn một cách an toàn

Như đã đề cập, nếu khóa API của bạn rơi vào tay kẻ xấu, tài sản của bạn có thể bị xâm phạm. Cũng giống như cách bạn bảo vệ các khóa riêng tư của mình, đừng lưu trữ chi tiết về API của bạn ở dạng văn bản thuần túy. Thay vào đó, hãy mã hóa nó hoặc sử dụng trình quản lý bí mật đáng tin cậy. Bạn cũng nên tránh sử dụng giải pháp dựa trên đám mây để giữ các khóa API của mình vì có thể dễ bị tấn công.

Bạn cũng nên tránh lưu trữ khóa API bên trong mã nguồn hoặc kho lưu trữ của ứng dụng.

Cân nhắc lưu trữ dữ liệu khóa API của bạn trong các tệp hoặc biến môi trường bên ngoài hệ thống quản lý bên thứ ba mà bạn đang sử dụng để tránh chia sẻ thông tin cá nhân của bạn với họ.

Khóa riêng tư RSA hỗ trợ bảo vệ bằng mật khẩu, do đó, người dùng đang sử dụng khóa RSA nên thêm mật khẩu vào tất cả khóa riêng tư RSA của mình.

4. Sử dụng danh sách IP ưu tiên

Theo Binance, người dùng nên sử dụng danh sách ưu tiên IP trên tất cả các khóa API của họ, bất kể quyền hay mục đích của các khóa API. Với danh sách ưu tiên IP, chỉ các địa chỉ IP cụ thể mới có thể truy cập khóa API của bạn. Quy trình này giúp ngăn những kẻ xấu sử dụng khóa API của bạn trong trường hợp khóa bị xâm phạm. Do đó, bạn nên đưa tất cả các địa chỉ IP mà bạn sử dụng khóa API vào danh sách ưu tiên.

Hãy đề phòng những trò lừa đảo

Mặc dù không thể sử dụng khóa API để khởi tạo yêu cầu rút tiền mà không có danh sách ưu tiên IP nhưng bạn cần bảo vệ các khóa API của mình. Nếu có quyền truy cập vào khóa của bạn, tin tặc có thể sử dụng tài sản có khối lượng giao dịch tương đối nhỏ để ghép nối giao dịch và từ từ rút tài sản từ ví của bạn. Sau khi tin tặc thực hiện các giao dịch mua tài sản bạn không mong muốn từ tài khoản của chúng và giao dịch với các tài sản blue chip của bạn (BTC, BNB, BUSD, v.v.), bạn sẽ chỉ còn lại những altcoin mà bạn không bao giờ có ý định mua. Nói cách khác, tin tặc có thể sử dụng các khóa API của bạn để giao dịch tài sản của bạn với tài sản của họ trong một thị trường có tính thanh khoản tương đối thấp..

Để ngăn chặn những hành vi lừa đảo như vậy, Binance đã triển khai chính sách tự động xóa khóa API vào tháng 12 năm 2022. Nếu khóa API của bạn không nằm trong danh sách ưu tiên IP và không hoạt động trong 30 ngày, khóa đó sẽ bị xóa. Để tránh bị xóa tự động, bạn nên tạo danh sách ưu tiên cho IP của mình.

5. Sử dụng các cặp khóa RSA

Cặp khóa RSA (Rivest-Shamir-Adleman) là một cơ chế sử dụng khóa công khai và khóa riêng tư để bảo mật việc truyền dữ liệu.

Với cặp khóa RSA, bạn không cần chia sẻ khóa riêng tư dùng để tạo chữ ký. Điều này có nghĩa chỉ cần khóa riêng tư được giữ bí mật và an toàn, không ai có thể thay bạn khởi tạo một yêu cầu xác thực.

Binance hiện đã hỗ trợ các khóa API RSA

Binance hiện đã hỗ trợ các khóa API RSA. Giờ bạn có thể tạo các cặp khóa công khai và riêng tư RSA, đăng ký khóa công khai trên Binance và sử dụng khóa riêng tư tương ứng để tạo các yêu cầu API có chữ ký.