关于Steam盗号

因为我家没有能打游戏的PC,平时打游戏都是去网吧。最近刷到很多去了网吧(甚至没去网吧)结果Steam被盗号的帖子和视频,挺哈人的,想讨论一下盗号的原理以及防范措施:

先聊聊盗号手法,我这几天看下来主要有这两种:

  1. Steam绑定邮箱被盗
    有些人QQ邮箱被盗所以账号的最高访问权限掌握在了盗号者的手里,可以直接获取二步验证代码以登录。

但我所有账号的邮箱都使用了不同的Alias并转发到我绝对安全的主邮箱上,所以邮箱被盗导致的Steam账号被盗在对我来说不可能。

  1. 登录状态和密码被盗
    恶意软件盗取cookies和SSFN文件且使用击键记录器记录用户名与密码,以在异地无缝登录,无需双因素认证。
    或在伪造的Steam页面 / 软件中输入了账户名称与密码并输入验证信息,相当于直接在盗号者的电脑上登录。

这个就挺恐怖的了,我本来以为在网吧下机后在Steam中取消「对所有设备的授权」就能使所有之前的cookies与SSFN文件失效,但我看到了一部分评论谈到即便自己每次在公共电脑登陆后都删除授权设备乃至更改密码,且本机上没安装已知的恶意软件,连Wallpaper Engine也只用多年前下载的安全的壁纸,但账户仍被入侵洗号。

百思不得其解,做到这步的原理是什么?异地无缝登录不是需要可用的cookie吗?取消授权应该意味着「使之前用于存储用户会话信息和身份验证数据的文件都失效」吧?为什么取消过后仍然可以绕过2FA登录这个账号呢?

有没有懂的聊聊:sob:我应该怎么防?

还有就是看一些人说开启Steam手机令牌比用邮件令牌安全,我看了一下手机令牌不就是TOTP吗,只是需要通过Steam自己的App实现,我不想因为这个就多装个App所以没开。在我邮箱安全的前提下,Steam登录这种场景,TOTP不至于比邮件OTP安全吧?

1 个赞

TOTP(手机令牌)的安全性来自于多设备,除非多个设备同时落入攻击者手中,否则不会有问题。

但如果你说cookie或SSFN被盗了,那没有办法。异地似乎有SSFN不用验证。

公共电脑登陆后都删除授权设备乃至更改密码 ,且本机上没安装已知的恶意软件,连Wallpaper Engine也只用多年前下载的安全的壁纸,但账户仍被入侵洗号。

考虑过拖库的可能性吗?如果和邮箱密码相同,确实能做到。

TOTP(手机令牌)的安全性来自于多设备,除非多个设备同时落入攻击者手中,否则不会有问题。

这里说的是 Steam 的手机验证器 App,只能在一部移动设备上设置。这相当于把传统的 TOTP 封装在 Steam 自己的 App 里,且不能用其他的 TOTP 验证器客户端。

考虑过拖库的可能性吗?如果和邮箱密码相同,确实能做到。

这个我确实没想过。但是看到的案例有说自己改了 Steam 密码和邮箱密码也删除了所有授权设备,但还是被盗号者成功登录账号,具体是真是假或者还有什么当事人没说的情况我也不知道。