IDENTITY

Ваша сессия — не единая отмычка.

Важные действия требуют свежего подтверждения. При подозрительной активности в сети доверие к сессии сокращается само. Ключи API несут только те права, что вы выдали, а вызывающего доказывает подпись, а не секрет.

RFC 9470 · периметрLivePasskeys / WebAuthnIn build
Live
Уже работает в canary или проде.
In build
Код пишется — статус виден в плане сборки.
Planned
Решение зафиксировано, работа не начата.
БЫЛО / СТАЛОКонтур входаIn build

Старый IdP и симметричная 2FA — заменены.

Прежний стек входа работал на снятом с поддержки сервере с симметричной 2FA на HMAC. Новый контур — современный IdP на OIDC + PKCE, с защищёнными от фишинга Passkeys и периметром, который просит подтверждение ровно там, где это важно.

Старое · было

  • IdentityServer4 — снятый с поддержки — в роли провайдера входа.
  • Симметричная 2FA на HMAC: перехваченный фишингом код можно было повторить.
  • Нет реального различия между активной сессией и действием с высокой ставкой.

Стало · в разработке

  • Современный IdP на OIDC + PKCE, с Passkeys (WebAuthn) и TOTP.
  • Доп. подтверждение на периметре (RFC 9470) — свежее подтверждение только для важных действий.
  • Сессии с оценкой риска и ключи API с минимумом прав, подписанные Ed25519.
ВХОД

Сначала Passkeys, TOTP — база.

Passkey привязывает вход к этому устройству и этому домену, так что поддельному сайту нечего перехватывать. TOTP остаётся доступен как базовый второй фактор.

01 · Passkeys (WebAuthn)

Защита от фишинга по самой конструкции.

Passkey — это привязанная к устройству пара ключей, выданная для конкретного домена. Она не покидает устройство и не уходит на сервер, поэтому фишинговая страница не может её перехватить или повторить — общего секрета, который можно украсть, просто нет.

Механизм: пара ключей WebAuthn, привязанная к домену, без общего секрета.

02 · Базовый TOTP

Второй фактор по стандарту.

Одноразовые коды по времени (TOTP) остаются доступны как базовый второй фактор для любого приложения-аутентификатора, так что надёжная 2FA не зависит от наличия устройства с поддержкой Passkey.

Механизм: второй фактор TOTP поверх современного потока OIDC + PKCE.

ДОП. ПОДТВЕРЖДЕНИЕ НА ПЕРИМЕТРЕRFC 9470 · периметрLive

Барьер там, где важно, а не везде.

Доп. подтверждение — это периметр, а не постоянные напоминания. Действия на границе — вывод средств, изменение белого списка, выпуск ключа, смена 2FA — требуют свежего надёжного подтверждения. Обычная торговля внутри сессии не дёргает вас раз за разом.

За барьером · свежее подтверждение

Доп. подтверждение: свежее надёжное доказательство (RFC 9470).

  • ВыводВывод средств с платформы просит свежее подтверждение прямо в момент запроса.
  • Изменение белого спискаДобавление или правка адреса для вывода — действие на периметре.
  • Выпуск ключа APIВыпуск нового ключа API — особенно с правом на вывод — требует доп. подтверждения.
  • Смена 2FAСмена второго фактора заново доказывает, что это действительно вы.

Без барьера · остаётся плавным

Внутри сессии — без повторной 2FA.

  • Выставление ордеровОбычная торговля внутри платформы идёт по аутентифицированной сессии, без запроса 2FA на каждый ордер.
  • Просмотр балансовЧтение данных аккаунта и рынка никогда не вызывает доп. подтверждение.
  • Внутренние переводыПерераспределение балансов между ролями в едином реестре — не выход за внешнюю границу.
СЕССИИ С ОЦЕНКОЙ РИСКА

Подозрительная активность сокращает окно доверия.

Сессия — не пропуск с фиксированным сроком. Когда сигналы вокруг неё выглядят аномально, окно доверия сжимается, и повторный вход наступает раньше.

01 · Сигналы

Аномалии сокращают сессию.

Необычные сигналы — резкая смена IP, незнакомая сеть, неправдоподобная смена местоположения — считываются как риск. Чем рискованнее обстановка, тем короче сессии доверяют, прежде чем она попросит войти заново.

Механизм: оценка риска → сокращённое окно доверия сессии.

02 · Пример со сменой IP

Смена сети посреди сессии.

Если активная сессия внезапно появляется из другой сети или страны, это считается аномалией: окно доверия укорачивается, и следующее важное действие запрашивает подтверждение раньше обычного.

Механизм: аномалия со сменой IP → ранний повторный вход.

КЛЮЧИ API

Только те права, что вы выдали.

Права ключей API ограничены: чтение, торговля и вывод — это отдельные разрешения. Запросы подписываются Ed25519, а не несут секрет в заголовке, и ключи с правом на вывод работают только с адресами из белого списка.

Права ключей API и ограничения, привязанные к каждому.
ПравоЧто даётАутентификацияНазначение
readЧтение балансов, ордеров и данных рынка. Ничего, что двигает средства.Подпись Ed25519
tradeВыставлять и отменять ордера. Не может выводить или менять настройки.Подпись Ed25519
withdrawТолько запрос вывода — и только на адреса, добавленные вами в белый список.Подпись Ed25519Только белый список

К любому ключу можно привязать белый список IP. Запросы подписываются, так что утёкший ключ сам по себе не годится как токен доступа.

ДЕТАЛИ

Вопросы — прямые ответы.

Как на самом деле ведут себя вход, сессии и ключи — то, что стоит понять до подключения приложения или вывода средств.

Что такое Passkey и почему он защищён от фишинга?

Passkey — это привязанная к устройству пара ключей, созданная для конкретного домена. Закрытая половина никогда не покидает устройство и работает только на настоящем сайте, так что поддельной фишинговой странице нечего перехватить и нечего повторить — нет ни общего секрета, ни кода, который можно украсть. Именно это защищает от фишинга там, где одноразовый код бессилен.

Будут ли спрашивать 2FA на каждую сделку?

Нет. Доп. подтверждение работает по модели периметра, а не запрашивается на каждое действие. Обычная торговля внутри аутентифицированной сессии идёт без прерываний. Свежее подтверждение нужно только для действий на границе — выводов, изменения белого списка, выпуска ключей API или смены второго фактора.

Что может ключ только для чтения, если его украдут?

Ничего, что двигает деньги. Ключ с правом чтения умеет только читать балансы, ордера и данные рынка — он не выставляет сделки, не меняет настройки и не выводит. Права разделены, поэтому утёкший ключ на чтение никогда не получает права на запись или вывод, а запросы подписываются, а не опираются на сам ключ как на секрет в заголовке.

Что повышает уровень риска сессии?

Аномальные сигналы вокруг сессии — резкая смена IP или страны, незнакомая сеть, неправдоподобная смена контекста. Когда оценка риска растёт, окно доверия сессии сжимается, и следующее важное действие просит войти заново раньше обычного.

ЧИТАТЬ ДАЛЬШЕ

Вход и доступ определяют, кто может попросить сдвинуть деньги; хранение держит их под пороговой подписью, а прозрачность позволяет проверить записи по обе стороны.

Высокорисковые деривативы. На бессрочных контрактах можно потерять больше, чем внесённая начальная маржа. Недоступно резидентам ограниченных юрисдикций (не-US · не-UK).
Полное раскрытие рисков →