Chết tiệt! API-keys: mật khẩu kỹ thuật số của bạn đang gặp nguy hiểm

Xin chào tất cả mọi người! Tôi đã làm việc với API trong một thời gian dài và muốn chia sẻ kinh nghiệm của mình. API-keys không chỉ là một tập hợp các ký tự, mà là những chiếc chìa khóa số thực sự cho vương quốc tiền điện tử của bạn. Hãy tưởng tượng rằng bạn để chìa khóa căn hộ của mình trên ghế đá trong công viên - đó là điều xảy ra khi bạn không cẩn thận với API-keys!

Khi tôi lần đầu tiên truy cập vào API giao dịch, tôi suýt mất hết tài sản của mình. Chìa khóa của tôi nằm lăn lóc trong mã nguồn mở trên GitHub gần một ngày, cho đến khi một người bạn phát hiện ra sự ngu ngốc này. Kể từ đó, tôi đã trở thành người hoang tưởng về vấn đề an ninh.

Chìa khóa API quái quỷ này là gì?

Về bản chất, API-ключ là thẻ vào hệ thống của bạn. Khi tôi muốn kết nối với sàn giao dịch, tôi cần chứng minh rằng tôi là chính tôi. API-ключ làm điều đó!

Một số nền tảng giao dịch sử dụng một khóa, trong khi những nền tảng khác sử dụng một bộ khóa. Một số yêu cầu chữ ký mật mã bổ sung. Và bạn biết không? Nếu ai đó đánh cắp khóa của bạn - hãy coi như tiền của bạn không còn là của bạn nữa!

Đối xứng với bất đối xứng - ai hơn ai?

Khóa đối xứng sử dụng một mã bí mật cho tất cả - điều này nhanh chóng, nhưng kém an toàn hơn. Khóa bất đối xứng sử dụng một cặp khóa: khóa riêng ( chỉ có bạn ) và khóa công khai. Cá nhân tôi thích khóa bất đối xứng - đúng, chúng phức tạp hơn, nhưng sự an toàn của bạn đáng giá!

Nhân tiện, một số hacker chuyên về việc đánh cắp API-keys! Họ duyệt GitHub và các tài nguyên khác, tìm kiếm lỗi của các nhà phát triển. Và khi tìm thấy khóa - họ ngay lập tức rút hết tất cả tài sản của bạn!

Làm thế nào tôi bảo vệ các API-keys của mình

Sau trải nghiệm buồn bã của tôi, tôi tuân theo những quy tắc đơn giản:

1. Tôi đổi mật khẩu mỗi tháng - đúng, điều này thật phiền phức, nhưng tốt hơn là dành 5 phút hơn là mất tất cả.

2. Sử dụng danh sách trắng các địa chỉ IP - khóa của tôi chỉ hoạt động từ máy tính của tôi và không ở đâu khác

3. Chia sẻ quyền truy cập giữa nhiều khóa - một khóa cho việc đọc dữ liệu, khóa còn lại cho giao dịch

4. Lưu trữ khóa trong dạng mã hóa - không có tệp văn bản nào trên màn hình chính!

5. KHÔNG BAO GIỜ chia sẻ khóa - ngay cả với các dịch vụ "đã được xác minh"

Nếu khóa của bạn vẫn bị xâm phạm - hãy ngay lập tức tắt nó đi! Ảnh chụp màn hình, đơn khiếu nại đến bộ phận hỗ trợ và cảnh sát - là cơ hội duy nhất để lấy lại tiền. Mặc dù, nói thật lòng, cơ hội này gần như bằng không.

API-ключ là như một chiếc chìa khóa của két sắt chứa tiền của bạn. Hãy đối xử với nó một cách đúng mực! Tôi đã học điều này từ những sai lầm của chính mình, hy vọng bạn sẽ không phải.