你有没有在半夜收到过Steam验证码,而自己根本没登录的经历?我有。就是那个瞬间,让我从一个账号安全的懒鬼变成了强迫症患者。今天我不说教,只讲故事——我自己的故事,以及我后来做的那些防护。
一、那个让我后背发凉的凌晨
大概是一年前,我在看直播,手机突然弹出一条短信:Steam验证码。我的第一个反应是:坏了。我根本没在登录,所以一定是有人在尝试登录我的账号,并且已经输入了正确的密码。那一秒,我脑子里闪过库存里的饰品和几款绝版游戏。我几乎是弹射到电脑前,登进Steam,立刻改密码,然后移除所有设备授权,再检查库存储藏。气喘吁吁地忙活了十分钟,确认没有任何损失。但那种恐惧,我到现在还记得。
二、密码:我首先开刀的地方
独立且复杂的密码
我以前的密码统统都是生活名词加一串数字,而且几乎所有平台都一样。那次之后,我花了一天时间,用密码管理器生成了两个完全独立的高强度密码,一个给Steam,一个给邮箱。两者毫无关联,就算其中一个泄露,另一个也能守住。
邮箱必须戴盔甲
很多人忽略邮箱的安全性,但盗号者只要攻破邮箱,就能重置一切。所以我把邮箱也开启了双重验证,并且换了一个不常用的邮箱专门绑Steam。密码记在脑子里,不存任何在线文档。
三、手机令牌:迟来的真爱
之前我嫌麻烦一直没绑令牌。但出事那天我立刻绑定了。说实话,用头几天确实烦,每次登录都要找手机。但一周后就习惯了,而且每次看到那一串动态码,我都有种踏实感。现在每次交易也要在手机确认,等于多了一道不可绕过的关卡。
四、钓鱼网站:我差点就输了密码
就在我加强密码后没几天,我收到一个好友邀请,名字和头像都特别像我同学。对方发来一个链接,说“帮我投个票”。点进去,那页面就是Steam登录框,做得一模一样。我差一点就输了密码,但余光扫到地址栏——域名多了一个字母。我立刻关掉了页面,然后去Steam上确认那位同学并没有发消息。我把这个经历写了下来,分享给朋友们听,没想到很多人也遇到过。
五、API密钥:藏在水面下的隐患
我平时喜欢用一些饰品交易网站,之前从没想过API泄露的问题。后来在社区看到有人因为API被劫,库存自动转给骗子。我马上去检查了我的API密钥管理页面,把那些不用的网站授权全部撤销,并且换了一个新密钥。现在每个月我都会登录一次Steam查看API状态,确保没有异常。
六、习惯的力量
现在每次登录后,我都会顺手检查一下授权设备,如果有不认识的设备立刻踢掉。在网吧或朋友家电脑退出后,我会在手机App里移除该电脑的授权。这些小动作已经成了我每天开电脑前的习惯,不做反而觉得不踏实。
