我记得那是2015年的夏天,刚考上大学,室友拉着我入坑《Dota2》,说必须先有个Steam账号。我兴冲冲地打开官网,填了邮箱、用户名,到了密码那一步,我想都没想就输了自己名字拼音加生日——总共8位,全是小写字母和数字。注册过程快得让我惊讶,一分钟后我就开始下载游戏了。那时候心里还嘀咕:这么简单?果然大平台就是方便。
第一次注册的草率
那会儿我对密码安全几乎没概念,觉得“谁会惦记我这么个普通账号呢”。密码设成“zhangsan1995”这种,自己觉得又好记又独特。玩了几个月的游戏,偶尔买点便宜皮肤,账号里没什么值钱东西,所以也没开手机令牌,邮箱验证倒是默认绑定了,但我从没注意过。现在回想起来,真是心大得可以。
半夜的异常提醒
大概过了大半年,有一天凌晨三点,手机突然震了一下,是邮箱推送。迷迷糊糊点开一看,Steam发来的:“您的账号正在尝试从俄罗斯IP地址登录,验证码是XXXX”。我瞬间清醒,后背直冒冷汗。赶紧打开电脑登录Steam,发现密码已经被改掉了!好在那封验证邮件需要输入验证码才能继续操作,对方卡在了第二步。我立刻通过“找回密码”功能重置了密码,重新夺回控制权。那晚我盯着邮箱看了两个小时,生怕再收到类似邮件。幸好对方没得手,但这件事彻底吓到我了。
重建信任:密码与安全措施的升级
从那次之后,我注册了一个新账号(其实想重头再来),这次我格外谨慎。密码我用了大小写字母、数字、特殊符号混合,整整20位,比如“Jk9#mP2$qR4&vE7*”这种随机组合。说实话,我自己背不下来,但我开始用密码管理器——Bitwarden,免费开源,所有密码都存里面,只记一个主密码就行。同时,我强制自己绑定了手机版Steam Guard,每次登录都要从手机上确认。刚开始觉得麻烦,但习惯了反而安心。
朋友看我这么折腾,说我太夸张。直到去年,他的账号因为密码跟别的网站一样(撞库被盗),库存里上千块的饰品被洗劫一空,找客服申诉好几个月才部分找回。那时他才跑来问我怎么设的密码。我把自己用的这套方法讲给他听——其实不外乎三点:密码足够长且唯一、开启双重验证、定期检查授权设备。这些算不上多高深,但都是我用惊慌换来的经验。
现在每次点击“注册”或者“修改密码”,我都会回想起那个凌晨的邮件,然后老老实实地花两分钟把密码设好。Steam从注册到密码配置,看似简单几步,可很多人恰恰因为这一步没走好,导致了后续的糟心事。我写下这些,不是要指导谁该怎么做,只是想说——有些跟头自己栽过,才长记性。
