记得那是六月的一个闷热午后,我正在家里专心致志地挑战《艾尔登法环》的女武神。激战正酣时,微信突然弹出消息,是朋友小明。他直接扔来一句:“你Steam账号怎么回事?我怎么登不上去?”我愣了一下,心想这小子肯定又记错了密码。毕竟之前我架不住他软磨硬泡,把账号借给他玩《双人成行》,他总吐槽密码太复杂。
可消息发着发着,我才发现事情没那么简单。小明说密码他背得滚瓜烂熟,换了两台电脑、重启过路由器,全都没用。我心里“咯噔”一下——不会是账号被盗了吧?那一瞬间,我脑子里闪过库存里那些辛辛苦苦攒的饰品,还有上百个游戏。我赶紧暂停游戏,打开手机Steam App检查。余额还在,库存也没少,账号安全状态显示正常。接着我调出登录记录,好家伙——过去三小时,有五条失败记录,IP来自北京、广州,甚至还有俄罗斯和越南。全都卡在“Steam Guard 验证”这一步失败。原来,他们都是被我的手机令牌挡在了门外。
看到这些记录,我先是长舒一口气,紧接着就是一阵后怕。我是那种特别容易分享账号的人,朋友想玩什么游戏,我往往直接把密码甩过去。加上有一次网吧通宵后忘了退出账号,密码到底是哪个环节泄露的,根本说不清。但有一点很清楚:这五次登录尝试,没有一个成功。因为我手机上安装的Steam App始终安安静静,没有弹出任何授权请求。盗号者除了密码之外,还需要通过手机令牌的确认才能登录,而那个确认在我手中,他永远无法强迫我同意。
我很快改了密码,把朋友的设备从授权设备里清了,然后又仔细检查了API密钥,确保没有奇怪的访问权限。折腾了半小时,确认账号彻底安全之后,我终于完全放心了。但这反而让我好奇:为什么别人就是登录不上?我回忆了一下自己当初的设置过程:两年前我绑定了手机令牌,当时只是嫌每分钟收邮件验证码太麻烦,而且在网吧输入验证码很烦。可没想到,这个当初为了省事的决定,成了账号最坚固的盾牌。
手机令牌如何阻止陌生人登录
现在很多人还在用邮箱验证或者短信验证,但这些方式都有被劫持的可能。我之前也用过邮箱验证,有几次验证邮件迟迟不来,搞得我很焦躁。后来我换成了手机令牌,也就是Steam官方移动App里那个动态码功能。每次登录陌生设备,App上会弹出请求,显示是哪个IP、哪个设备,我必须手动在手机上确认。如果我不点同意,就算输入正确的密码,服务器也不会发放登录许可。盗号者最多能通过密码这一步,永远卡在令牌确认。这就是为什么网上有那么多偷密码的木马,但大部分人的库存依然安全。
密码泄露的途径比你想象的要多
我不是个例。很多人的密码其实已经暴露在暗网的数据库里了,只是自己不知道。我从那次之后,开始定期检查haveibeenpwned这类网站。但更可怕的不是密码泄露本身,而是你还在用同一个密码注册所有网站。一旦某个小论坛被脱库,你的Steam密码就形同虚设。所以我后来专门把Steam密码改成了独一无二的强密码,并且每隔三个月更换一次。这习惯听起来很麻烦,但经历一次差点被盗号,就不会觉得烦了。
现在别人更别想登录进去了
经过那次事件,我的账号安全等级可以说是拉满了:手机令牌常开、密码独立且强壮、邮箱绑定且开启二次验证、定期检查授权设备。不仅如此,我把游戏库分享给朋友的方式也改了——不再分享密码,而是用Steam的家庭共享功能。这样朋友玩我的游戏不需要密码,我也能随时收回权限。自那以后,再没有任何人能通过密码登录我的账号,哪怕他们要尝试,也只会被“Steam Guard 令牌验证”这个铜墙铁壁礼貌地拒之门外。
再有人问我“为什么你的Steam账号别人登录不上”,我会笑着回答:“因为我知道它们会从哪里来,所以我先把门焊死了。”这不是傲慢,这是吃过一次亏之后学会的自保。
