在Steam上混了快十年,账号安全一直是我最在意的事情之一。我曾经就因为点了一个钓鱼链接,差点把库存拱手送人。还好当时反应快,及时改了密码,不然现在哭都没地方。那之后,我花了很多时间研究怎么把账号锁死,现在我的防护措施已经相当严密,我觉得可以拿出来分享分享。
密码:我用了最“变态”的组合
以前我的密码就是名字加生日,后来一看暴力破解的教程,几秒钟就能跑出来。于是我把所有涉及钱的账号都单独生成密码,Steam更是重中之重。我现在用密码管理器记着一串64位随机字符,我自己都背不下来,但根本不需要背。只要保证主密码足够强就行。而且我特意让Steam密码和邮箱密码不同,因为邮箱是找回密码的关键。
Steam Guard移动验证器必须用
很多人都知道这东西,但竟然还有人不启用。我在那次钓鱼事件后第一时间就绑定了手机验证器。设置过程很简单:在Steam客户端进入设置-账户-管理Steam Guard...,选择通过手机应用获取验证码。之后下载Steam App,扫描二维码就成。从那以后,每次登录除了密码还要按一下验证码。我试过即使知道我的密码,也登不上来,因为没有手机。我自己把验证器绑在常用手机上,并且马上备份了恢复代码。
关于恢复代码
绑定验证器的时候,Steam会弹出一串字母数字。很多人直接点关闭,这可是大忌!我当时就截了图,还手抄了一份放在抽屉里。万一手机丢了,没恢复代码基本就等于账号废了,联系客服可费劲了。所以我格外重视这个步骤,生怕忽略了后患无穷。
钓鱼:我再不长记性就真傻了
那次钓鱼经历让我学乖了。现在任何人发链接给我,无论多诱人,我都要先看域名。steam相关网站只有 steampowered.com 和 steamcommunity.com。其他任何域名,哪怕长得像,我都不会输入密码。而且我装了一个浏览器扩展,自动识别钓鱼页面。另外,我也不再相信免费送游戏或者抽奖,大多数都是套密码的骗局。
第三方授权和API密钥
Steam的开放API很方便,但也是隐患。我习惯每隔几个月去我的应用页面看看有没有奇怪的第三方应用授权。有一次发现一个没见过的网站有权限,我直接撤销了。至于API密钥,我如果不使用就保持空白,使用完了也会马上吊销。这些东西很容易被忽略,但一旦被坏人利用,可以发起我根本不知情的交易。
邮箱是最后一道关
我早就给邮箱也绑定了二次验证,用Google的验证器。毕竟Steam是用邮箱重置密码的,如果邮箱沦陷,Steam也危险。我的邮箱密码和Steam密码完全没有关联,而且也是随机生成。另外我还开启了登录通知,每次有陌生设备登录邮箱,我都能第一时间收到短信。
定期检查登录设备和隐私设置
Steam提供了一个页面显示所有授权过的设备。我一般每个月看一次,如果发现不认识的时间或地点,就立刻取消授权并改密码。而且我从不在公共电脑勾选“记住密码”,在家里的电脑也设置了系统锁屏,防止他人使用。还把自己的库存和个人资料都设置为仅好友可见,减少不必要的暴露。
目前的习惯基本就这些。每次看到社区里的被盗求助帖,我都庆幸自己当初那次教训让我重视起来。很多人觉得麻烦,但只有遇到麻烦才知道之前的功夫没白费。反正好习惯养成后,我睡觉都踏实多了。
