База знаний

← Все статьи

Рекомендации по безопасности

Торговый аккаунт — жирная цель. Ниже не generic compliance-список, а практические шаги.

Используйте уникальный пароль

Скорее всего email в TMIYC совпадает с email вашей биржи. Если один из них утечёт в несвязанном инциденте, атакующий должен упереться в стену на первом же пароле. Берите password manager (1Password, Bitwarden) и пароль, который есть только в TMIYC.

Включите 2FA сразу

Настройки → Безопасность → Enable 2FA. Только TOTP (не SMS — SIM-swap это реальная и частая атака). Поддерживаемые приложения: Google Authenticator, Aegis, Raivo, 1Password, Bitwarden.

Сохраните десять резервных кодов офлайн. Распечатайте или положите в «secure note» вашего менеджера паролей. Вы пожалеете, если этого не сделаете.

IP-whitelist на ключах биржи

Любой API-ключ, который вы отдаёте TMIYC, должен быть привязан к IP нашего executor (95.85.237.203). На биржах эта опция чаще всего спрятана на пару кликов вглубь, но она сокращает радиус поражения утёкшего ключа до нуля — с других IP ключ не аутентифицируется.

Никогда не включайте право на вывод

Наш live-executor отказывается стартовать против ключа с правом вывода. Это сознательно: даже если наша инфраструктура будет скомпрометирована, атакующий не сможет вывести средства с Bybit или Binance. Так и оставьте.

Регулярно проверяйте сессии

Настройки → Безопасность → Active sessions. Мы показываем последние 20 — device class, user agent, IP hash, last-seen. Если видите незнакомую сессию — Revoke и смена пароля.

Включите login-алерты

Настройки → Безопасность → Login alerts. Telegram или email при логине с нового device class (desktop / mobile / tablet). Ложных срабатываний мало — устройства редко меняются.

Не кликайте странные ссылки в DM

Никаких «TMIYC support» аккаунтов в Telegram вне тех, что указаны на официальном домене. Любой, кто первым пишет вам в DM от лица TMIYC, — врёт. Мы никогда не спрашиваем пароль, 2FA-секрет или резервные коды.

Ведите бумажный след

tmiyc-api логирует каждый логин, создание сессии, ротацию ключей. Если что-то кажется подозрительным — откройте тикет и попросите audit-log; мы разберём его с вами.