半个月前的一个深夜,我像往常一样打算睡前玩两把《Apex英雄》,打开Steam,客户端右下角弹出一行红色提醒:“有新的登录尝试需要验证”。我第一反应是——谁又在搞我的号?点开详情,过去48小时内,从两个不同城市分别尝试登录我的账号,其中一个甚至显示“登录成功但设备未授权”。说实话,那时候后背都凉了。
这场“被访问”的噩梦
我赶紧登录网页版的Steam账户,翻看“最近登录”记录。不看不知道:近一周内,有十几次尝试登录记录,来自全球各地,有美国的、俄罗斯的,还有几个国内我没去过的城市。虽然很多显示“登录失败”,但有两三条显示“已通过Steam Guard验证”。这意味着对方很可能破解了我的邮箱或手机验证码。我立马检查了我的邮箱设置,发现确实有一条转发规则被悄悄添加了——所有邮件都被转发到一个陌生地址。这条规则我完全不记得设置过,很可能是我之前点过某个恶意链接导致的。
为什么偏偏是我的号?
冷静下来分析,我的号大概有200多款游戏,库存里还有几千块的饰品。在盗号者眼里,这就像一块肥肉。但更重要的是,我自身的安全意识一直停留在“十年前”——密码是用了五六年的老密码,而且和很多网站的密码一样。虽然开启了Steam Guard邮箱验证,但邮箱密码同样简单,还没有二次验证。等于整个账号只有一道纸糊的门。
我开始了“大扫除”
那个晚上我几乎没睡,把账号全面清理了一遍:
- 修改密码——用密码管理器生成了一个乱码级别的密码,并且和所有其他平台都不一样;
- 强制退出所有其他设备——在Steam设置里找到“授权设备”,把所有陌生的、不记得的设备全部撤销;
- 绑定手机令牌——以前一直嫌麻烦,觉得每次登录还得看手机,但经历过这次,手机令牌成了我最信赖的锁;
- 检查并删除陌生的API密钥——在Steam开发者控制台里,我发现两个我没见过的API Key,果断吊销;
- 邮箱安全升级——给邮箱加上了双重验证,还去查了一下密码是否被泄露,果然在某个数据泄露网站上看到了我的邮箱和密码。
现在怎么样了?
自那之后两周,再也没有收到任何异常的登录提醒。偶尔在公共网络登录时,手机令牌依然会弹出验证请求,但我知道那是自己在操作,心里踏实很多。回想起来,这次“频繁被访问”更像一记警钟。人总是等到问题爆出来才开始重视,我也不例外。如果早一点把手机令牌打开,早一点用独立密码,也许那十几个小时的担忧根本不会发生。
有一次和朋友聊起这事,他说他的账号也被试图登录过,但因为有令牌,对方始终没能进来。我后来一想,Steam账户安全其实就三板斧:令牌、唯一密码、加固邮箱。这三个做到,基本可以挡掉99%的骚扰。
写这么多,其实就是记录一下自己的心路历程。在游戏的世界里泡了十几年,号里的东西不只是数据,更是时间的印记。真心希望每个玩家都能守护好自己的那一亩三分地。
