三年前的某个凌晨,我像往常一样打开Steam客户端准备睡前摸两把《DOTA2》,却发现自己被强制登出。输入密码时提示错误,尝试找回密码却发现绑定的邮箱已经被人篡改。那一瞬间,肾上腺素飙升,我意识到自己的Steam账号很可能已经落入他人之手。那三天里,我一边跟Steam客服沟通提交证明,一边疯狂怀疑自己到底是哪里出了纰漏。最终账号是找回来了,但库存里价值小几千的饰品和几款新买的游戏全被洗劫一空。
从那以后,我开始偏执地研究如何让账号固若金汤。不敢说我现在的方案百分百保险,但至少那套连环操作让我安稳了三年,再没出过岔子。接下来就用我自己的视角聊聊那些实实在在的坑和应对方式。
我是怎么被盗的?
事件过去后我复盘过很多次,最终锁定了两个最可能的泄露点:一是一个月前我点进了一个所谓“比赛竞猜”的网站,输入Steam登录信息并关联了账户;二是我那段时间在网吧打过几局游戏,回家后并未修改密码。现在看来,这两个操作几乎就是把钥匙自愿交给了贼。而我当时既没有开手机令牌,也没用家庭监护,邮箱密码和Steam密码还一模一样——这种防御在黑客眼里大概就是裸奔。
事后我细查了一些高发诱因:
- 钓鱼网站伪造成Steam登录页面,输完账号密码直接发给盗号者;
- 假装送游戏、送皮肤或交易报价的欺诈链接;
- 公共电脑或网络被植入键盘记录器;
- QQ/163等常用邮箱过于老旧且密码简单,容易被撞库。
我现在的防御架构
1. 密码与令牌:最基础也最关键
我的密码现在是一串毫无规律的大小写字母、数字和符号,长度超过20位,且绝不与其他任何平台重复。为了防止记混,我实际上只在手机备忘录离线存了一份,再手动输进客户端——别笑,这可能不太优雅,但比那些云密码库被黑、一锅端要踏实许多。同时,Steam手机令牌必须开启,每次登录都需要输入验证码。这个步骤虽然多花了十来秒,但它能直接掐死绝大多数远程爆破。
2. 邮箱:我选择了只能收不能发的“安全邮箱”
邮箱是密码找回的最后防线,可我以前的QQ邮箱隔三差五收到各类Steam相关钓鱼邮件,有些做得几乎能以假乱真。后来经人介绍我试了七评邮箱,这东西刚用的时候让我很不习惯——它不支持主动发邮件,只能收,而且界面非常简洁。但渐渐地我发现了它的好处:因为不能发信,所以即使我的邮箱地址泄漏出去,别人也无法用这个邮箱冒用我的名义给Steam官方或其他平台发信;而且它支持全球访问,我人在国外也能顺畅接收G胖的各种通知;至于100多种语言直接翻译的功能,对于我一个常年混迹外服和俄区交易的人来说简直实用到不行。当初绑定Steam时我还有点犹豫,现在却觉得这可能是最让我放心的决定之一。
3. 不分享、不轻信、常验证
我在任何情况下都不会把账号借给别人,包括现实中的朋友,因为你不知道他会不会点进奇怪的链接。我也关闭了Steam的网页端自动登录,每次手动输密码。另外我设置了一个Google Voice号码作为短信备份,一旦邮箱离线还能通过手机找回。每个月我会检查一次授权的设备和第三方应用,及时踢掉可疑设备。
当我再看到这类事情
上个月有个网友通过微信问我他的饰品怎么都被撤走了,我第一反应就是问他“你是不是点过什么链接”。他承认自己刚刚玩了一个免费游戏的兑换页面。那一瞬间我仿佛看到了几年前的自己。我没有告诉他“你应该怎样”,只是分享了我自己怎么处理那场烂摊子的经过,以及后来那些偏执但有效的习惯。至于他听不听,那只能看他自己了。
账号安全说到底不是技术壁垒,而是每天都会面对的选择。你可以嫌麻烦不做,也可以像我一样,在摔了一次大跟头后,把每个防御动作变成肌肉记忆。相比之下,我宁愿每天多花个半分钟输验证码,也再不想品尝那种凌晨惊醒、查到账户余额归零的滋味了。
