前段时间换新手机,第一件事就是下载Steam。作为PC端的老玩家,我习惯每天刷刷市场、看看社区,所以Steam Mobile自然是必装应用。然而这次安装流程却让我愣了一下——应用刚打开,系统就弹出一个提示:“Steam想要使用设备锁屏密码,是否允许?” 我当时正躺在沙发上,大拇指悬在屏幕上方,心里冒出一个大大的问号:
“我下个游戏平台,关我锁屏密码什么事?”
说实话,第一反应是抵触。手机锁屏密码是我最后一道隐私防线,凭什么一个商店应用要碰它?但转念一想,Steam毕竟是全球最大的数字发行平台,账号里躺着几百款游戏和好几年的库存,真被盗了损失不轻。这种矛盾的心理让我决定把这个功能摸透。
手机Steam到底在做什么?
其实背后的逻辑并不复杂。Steam Mobile的“锁屏密码”需求,本质上是一个应用层的二次验证。当你授予这个权限后,Steam会调用系统的锁屏机制(比如指纹、人脸或者字符密码)作为App的“看门人”。之后每次启动Steam、进行交易确认或者修改账号设置,系统都会要求你先通过这道锁。
这和支付宝、微信支付的“应用锁”是同样的原理。只不过Steam把它和系统原生的安全框架绑在了一起,所以才会弹出那个请求。一旦你拒绝,应用会退而求其次,让你设置一组独立的Steam PIN码——当然,体验就没有用指纹那么流畅了。
为什么它非要多此一举?
我查了一些资料,也回忆了自己之前的经历。早些年Steam手机版并没有这么严格,你打开应用就能直接看到令牌代码、交易报价,甚至可以直接确认市场挂单。那时候有个常见的安全漏洞:手机一旦丢了或者被借用,别人就能轻易操作你的账号,转走库存、取消交易,甚至更改密码。后来V社(Valve)强制推行了交易确认功能,要求每次操作必须通过手机验证,才把盗号风潮压下去一些。
但手机令牌本身也面临风险。如果你的手机本身没有锁屏,别人拿到手机就能看见你的令牌代码,照样可以配合密码完成恶意操作。所以从某个版本开始,Steam干脆把“设备锁”作为前置条件——要么用系统锁屏,要么用独立PIN。本质上就是强迫用户给令牌再加一把锁。
我的使用感受:麻烦但踏实
刚开通那几天,每次打开Steam都要刷一次脸,确实觉得烦。特别是睡前想随便看看市场,人脸识别的白光一亮,整个房间都亮了。但过了一周我就习惯了,甚至觉得多了一层安全感。有一次朋友借我手机打电话,我下意识想到“Steam还在后台挂着的,他要是点开会不会看到我的库存?” 然后想起有锁屏密码护着,就放心了。
这种心理变化很有意思:从“为什么要动我的设置”到“还好它动了”。我自己是一个丢三落四的人,手机经常落在工位上。办公室人来人往,如果在没锁屏的状态下被别人打开了Steam,分分钟就能把我的CSGO皮肤转走。光是想一想就后背发凉。
一些值得注意的细节
- 权限不是强制性的:如果你实在不想用系统锁屏,可以拒绝,然后Steam会让你设一个单独的4位PIN。两种方式二选一,但总得选一个。
- 影响范围:锁屏密码只保护Steam应用本身,不影响手机其他功能。退出应用后需要重新验证,但短时间内在后台切换则不需要。
- 与系统联动:如果你更改了手机的主锁屏密码,Steam的授权会跟着失效,需要重新授予一次。我换手机桌面主题时就遇到过,系统重置了安全设置,Steam又被锁住了。
说到底,这不仅仅是一个锁屏密码
前几天群里有个玩《Dota 2》的朋友抱怨,说他手机Steam每次都要输密码太麻烦,干脆关了令牌。我马上私聊劝他千万别关。一个锁屏密码,付出的成本是每次多花一两秒,换来的却是整个账号的安全背书。尤其是在Steam经济越做越大的今天,一件皮肤、一把刀都能卖几千块,账号的资产属性越来越重。
我自己的库存虽然不值什么大钱,但里面有过往游戏的存档、截图、评测,还有和好友的聊天记录。这些东西被清空或者被恶意利用,比损失几百块钱还难受。所以当Steam伸手向我要锁屏密码的时候,我现在会很高兴地把它当成一个凭证——我在为我的数字生活买一份保险。
当然,V社在这件事上也不是没槽点。首次弹出的说明文字太简洁,很多人根本不知道它要干什么,直接拒绝,然后就发现“为什么我的验证码总是出不来?”。如果能在请求权限时给一段通俗的解释,用户接受度会高很多。另外,独立PIN的设置入口藏得有点深,有些用户想找回也没那么容易。这些都是可以改进的地方。
但总的来说,我站Steam这个设计。它把一个看起来“越权”的请求,变成了一次潜移默化的安全习惯升级。现在不但Steam,连我常用的密码管理器、银行App、甚至记账软件都要求同样的权限。我不知道这是不是未来所有应用的标配,但我知道:一个连锁屏密码都不愿意给你的应用,未必值得你把数字家当放进去。
