因为我家没有能打游戏的PC,平时打游戏都是去网吧。最近刷到很多去了网吧(甚至没去网吧)结果Steam被盗号的帖子和视频,挺哈人的,想讨论一下盗号的原理以及防范措施:
先聊聊盗号手法,我这几天看下来主要有这两种:
- Steam绑定邮箱被盗
有些人QQ邮箱被盗所以账号的最高访问权限掌握在了盗号者的手里,可以直接获取二步验证代码以登录。
但我所有账号的邮箱都使用了不同的Alias并转发到我绝对安全的主邮箱上,所以邮箱被盗导致的Steam账号被盗在对我来说不可能。
- 登录状态和密码被盗
恶意软件盗取cookies和SSFN文件且使用击键记录器记录用户名与密码,以在异地无缝登录,无需双因素认证。
或在伪造的Steam页面 / 软件中输入了账户名称与密码并输入验证信息,相当于直接在盗号者的电脑上登录。
这个就挺恐怖的了,我本来以为在网吧下机后在Steam中取消「对所有设备的授权」就能使所有之前的cookies与SSFN文件失效,但我看到了一部分评论谈到即便自己每次在公共电脑登陆后都删除授权设备乃至更改密码,且本机上没安装已知的恶意软件,连Wallpaper Engine也只用多年前下载的安全的壁纸,但账户仍被入侵洗号。
百思不得其解,做到这步的原理是什么?异地无缝登录不是需要可用的cookie吗?取消授权应该意味着「使之前用于存储用户会话信息和身份验证数据的文件都失效」吧?为什么取消过后仍然可以绕过2FA登录这个账号呢?
有没有懂的聊聊我应该怎么防?
还有就是看一些人说开启Steam手机令牌比用邮件令牌安全,我看了一下手机令牌不就是TOTP吗,只是需要通过Steam自己的App实现,我不想因为这个就多装个App所以没开。在我邮箱安全的前提下,Steam登录这种场景,TOTP不至于比邮件OTP更安全吧?