深夜的惊吓
手机屏幕在床头柜上猛地亮起,震动的嗡嗡声撕裂了凌晨两点的安静。我迷迷糊糊地抓过来,看到短信内容时瞬间彻底清醒——「您的Steam账户刚刚在俄罗斯莫斯科请求登录验证码」。这已经是这周第三次了,我的Steam账号就像个不安分的情侣,总在深夜偷偷跑到地球的另一端去「偷腥」。我老婆翻了个身嘟囔了一句:“你那破游戏账号又出幺蛾子了?”我苦笑,是啊,它又「外遇」了。
什么是「外遇登录」?
不是我矫情,实在是这个词太贴切。所谓「外遇登录」,就是你的Steam账号在没有你参与的情况下,频繁在异地甚至异国登录。它不一定会直接导致密码被改、游戏被洗劫,就像外遇不一定立刻离婚,但那种被背叛的感觉实实在在。你打开Steam手机App检查库存和登录记录,就像查岗一样惴惴不安。每次收到验证码短信,心脏都要停半拍:这次是真的我自己登录的吗?还是哪个小偷又在尝试破门而入?
为什么我的账号总被「绿」?
作为一个游戏时长超过五千小时的老玩家,我一直觉得自己安全意识还行。直到我开始追溯那些异常的登录IP,才发现问题出在自己身上。一年前我在一家环境嘈杂的网吧登录过Steam,当时为了省事把密码保存在了那台电脑上;我的Steam密码和几个论坛的密码一模一样,而那几个论坛前两年发生过大规模数据泄露。最致命的是,我嫌麻烦一直没有绑定手机令牌——只用了邮箱验证。邮箱密码虽然复杂,但架不住撞库攻击。盗号者拿到我的邮箱密码后,就像拿到了我家的备用钥匙,想来就来,不想来就在门口蹭蹭。这种「外遇」不一定是出于恶意,有时只是盗号者把你的账号当作一个仓库或者练级工具,甚至偶尔用来开外挂——那就更麻烦了。
「外遇」的代价
最疼的一次是去年秋天。我打开Steam准备组队打一场竞技,却发现库存里那把崭新出厂的M4A4咆哮不见了,那是当年我花了半个月生活费从市场淘来的,每一道磨损痕迹我都记得清清楚楚。同时失踪的还有一整套AK-47红线,那是第二款我真正喜欢的皮肤。我翻看交易记录,发现它们被一个连头像都没有的账号通过一次次小交易转移走了,总价值快两千元。我气得浑身发抖,却只能一边申诉一边骂自己为什么不早点上令牌。更可恨的是,盗号者还用我的账号玩了几局《CS:GO》,被人举报开挂,导致我的账号被VAC封禁——虽然最后通过申诉解封了,但那种失去控制的感觉让我做了好几晚噩梦。
我的账号自卫战
痛定思痛之后,我开始了一场彻底的自救。
取消所有设备的授权是第一件做的事——在Steam网页端的账号明细里,我看到了十几台我根本不认识的设备记录,包括来自智利、印度尼西亚的电脑签名。我毫不犹豫全部「失权」。然后我卸掉了手机上非官方的Steam App,安装官方版并开启了Steam Guard手机验证器。那个六位数的动态码让我很烦,每次登录都要戳一下手机,但安全感也的确在慢慢回来。我还用密码生成器搞了一个长达二十位、包含大小写字母和符号的超长密码,专属于Steam,写在我桌面上贴着的便签纸上——听起来很原始,但总比被远程偷走好。最后我开启了每笔市场交易需要手机确认的功能,这样一来,就算有人进了我的账号,想把东西转出去也必须经过我的拇指。
如今
现在半夜收到验证码短信的次数越来越少,两个月才出现一次。每次那些异国IP的请求发过来,我就在手机App上点拒绝,然后继续睡。库存里的饰品也保住了。那种感觉就好像终于和一段糟糕的感情画上了句号,剩下的只是偶尔的骚扰短信。这段经历让我明白,账号安全不能靠侥幸,得自己上心。如果你是Steam玩家,而且你的账号也有那种「外遇」记录,别等吃了大亏才行动——这是我用真金白银和好几宿失眠换来的教训。
