API-key: a tua chave digital para o mundo crypto

Sabe o que têm em comum a senha da sua casa e a chave API? Ambas podem custar-lhe todos os seus bens se caírem nas mãos erradas! Acredite na minha experiência...

A chave API é um código digital único que funciona como o seu passe pessoal no mundo das interfaces de programação. Na essência, é o seu passaporte digital que permite ao sistema entender: "Sim, és realmente tu, e não algum hacker do porão da casa ao lado".

O que é uma besta - chave API?

Quando me deparei pela primeira vez com essa coisa, pensei - mais uma abreviação complicada. Mas na verdade é simples: imagine que você precisa obter os preços atuais do bitcoin para o seu site. Você se dirige a um serviço com os dados, e ele diz: "E você quem é?" É aqui que entra a chave API - sua identificação no mundo digital.

Aliás, em algumas plataformas de negociação, este sistema de segurança é tão paranóico que exige não um, mas vários chaves! Uma para identificação, outra para assinar pedidos... Juro que seria mais fácil entregar impressões digitais e uma amostra de DNA.

Por que não se deve compartilhar as chaves

Eu me lembro de uma vez em que um conhecido meu compartilhou "em segredo" sua chave API de uma grande plataforma de negociação com um "amigo confiável". Uma semana depois, todo o seu saldo de negociação misteriosamente desapareceu. O "amigo confiável" desapareceu junto com o dinheiro.

Compartilhar a chave da API é como dar a um estranho as chaves do seu apartamento, o PIN do seu cartão e dizer: "Só não roube, está bem?"

Assinaturas simétricas e assimétricas

Aqui tudo é como em filmes de espionagem. Chaves simétricas são quando você e eu temos o mesmo código secreto. Simples e rápido, mas se ele for roubado - problemas para ambos.

Assimétricos - é quando eu tenho a minha chave privada e você tem a pública. Eu assino a mensagem com a minha chave privada, e você verifica a assinatura com a sua chave pública. Parece complicado? É mesmo! Mas é muito mais seguro.

A minha experiência pessoal: como quase perdi todas as minhas poupanças

Uma vez, deixei a minha chave API no código que carreguei no GitHub. Pensei, quem se importa com o meu pequeno projeto? Acontece que bots especiais escaneiam todo o GitHub em busca de tais "presentes". Uma hora após o upload, operações estranhas começaram a ocorrer na minha conta. Ainda bem que percebi a tempo e revoguei a chave! Desde então, tornei-me um paranoico em relação ao armazenamento de chaves.

Como se proteger?

1. Mude as chaves tão frequentemente quanto a roupa interior. Pelo menos uma vez por mês.
2. Utilize a lista branca de endereços IP. Deixe a chave funcionar apenas a partir do seu computador.
3. Separe as permissões entre diferentes chaves. Uma para visualizar o saldo, outra para negociar.
4. Armazene as chaves de forma encriptada, e não em um adesivo colado ao monitor.
5. Nunca, NUNCA compartilhe suas chaves! Mesmo com a sua avó querida.

Este sistema não é perfeito, mas a alternativa é perder todas as suas poupanças em criptomoedas. E no nosso mundo louco, onde o bitcoin sobe às nuvens e desce ao abismo, problemas adicionais de segurança definitivamente não são necessários!