请问板上有人跟我一样
打开2FA还是被盗帐号的吗？
我的信箱也有2FA，需要使用手机才能解锁
结果刚刚Steam发信说我帐户被改
Steam的资安是狗屎懒蛋做的吗
在这边提醒各位小心一点啊

你是不是有登到假网站这种2FA的技术都不是无敌的，如果你有勾“记住此装置”就更有机会被盗。平常养成好的资安习惯，用密码管理器并定期更换密码、2FA设在手机而不是email、不要下载来路不明的程式(尤其是非法的)、点开网站前注意网址是否正确、不要任意关闭防毒软件。若你有确实做好上面每一项原则再来检讨steam的资安作为吧。

C大说的我扪心自问都有做到，毕竟我自己也是资讯从业人员，所以平常都会注意，永远都是google进入Steam，不透过第三方连结，平常也都是用官方Desktop version

至于为什么开了2FA还是会被盗，你可以在YT搜寻“Redline stealer”，简单来说就是你浏览器里纪录你已经登入身份的Token被偷了，所以骇客可以绕过2FA登入你的帐号

所以我觉得我已经做得算是密不透风了，还是被盗

原来还有绕过2FA的方法哦

那我也是没有办法，这个盗帐号的技术连Google和微软这种大厂都挡不太住，更别说Valve了，我建议直接重设电脑，毕竟这样看起来中毒机率比较大，神仙也防不了你被骇

但是改密码之前不是要去信箱确认？所以原Po的信箱的登入token也被偷？

回16楼：有，而且多的很。所以平时资安的观念很重要。

看来以后要使用实体金钥ㄌ

感觉要同时偷两个地方的token，难度很高而且我信箱还是用手机认证，我刚刚去看了活动纪录也没异常，我真心怀疑是Steam可能有leak

Steam应该是不支援实体金钥的，建议还是把steam guard设在手机App啦，比设在email安全一些。

原来2FA是绑EMail? 绑手机才是真的安全吧绑EMail被盗的已经听过不少案例了,绑手机的几乎没有

有手机验证之后用到现在没被登过 帐号13年 给你参考

steam有leak就是大规模了 应该不会只有你

没有 只有你

有两阶段验证还被盗那一定是你登入 cookies 泄漏了八成登到哪个伪装的网站然后泄漏了总不可能连你信箱都被盗，八成是你自己的问题

我记得cookies会记token 可以直接登

我N年没开过防毒也没被盗...

提到Steam的二阶段验证就是手机，信箱当作没有就好

你４８４上惹些不该上der色色网站

手机验证 密码几秒就更新 我自己都很难登入

我还以为你是说手机验证被盗，结果是信箱…信箱超不安全而且被暴力破解密码了还不换一下吗…

f2a设mail已经不知多少案例出事了还不设在手机...

文章代码#1XTbGMSM 外泄的话...这位大大也太强惹吧阿...他是用手机验证

到底用信箱登入还是用手机登入阿

他是用信箱验证然后他的信箱有手机认证这会有问题就是你电脑有木马的话信箱的cookies 会被偷，可以绕过你信箱验证这样的话steam的信箱验证就掰了我的猜测啦

确实有可能，是我的电脑有木马

还以为是用App验证被盗，如果是信箱的话就别特别说自己多注重资安了

真要安全就要连email，都要手机认证登入

我开手机验证，天天被登持续两三年了。目前还没被破解

楼上你电脑基本上也是有木马的状态，不扫一下吗…

2FA有人在绑email喔-.-

案例很多了 说steam的2FA就是指绑手机 email的没啥用绑手机的 除了自己被钓鱼亲自把验证码输进去 目前还没有传出过被盗的案例

你是2FA挂在信箱那边 steam guard没开到手机认证的等级？我是听说有人在经营youtube频道 他的google帐号有开2FA但是还是被骇客以其他装置冒充为信任装置被盗走帐号 不知道你是不是这种的

你确定那封信是真的？

这样你应该说你那家信箱的资安是不是狗屎懒蛋做的吗

我不是资安从业啦 不过我有认识从事实体防盗措施的从指纹辨识到红外线动作感应器再到防盗箱的他有解释过实体防盗措施个别都是有弱点的但复合目的是让破解变得漫长使得破解行为容易被察觉以2FA的邮件通知给你有人在试了 你当稀松平常大概就像指纹锁告诉用户“欸有人在试门锁喔”无动于衷你这样真的叫从业人员吗

所以我好奇 都没人怀疑2FA的问题吗？资安背景的人都被盗了，还在怀疑受害者，到底在信仰什么？

欸对欸，也有可能信是假的，确认一下是不是真的被改

资讯？资安？ 因为大部分的人都没事吧，看那个要改到韩国才能连线的就满多人的

不是欸 2FA不是PTT专用或Steam专用的小圈圈技术 这是2022年几乎所有有点规模的网站都会使用的技术 如果Steam的2FA有问问题 Steam每分每秒都有1500万的线上使用者 我觉得不会只有PTT偶尔看到几个人发文问被盗帐号如果2FA可能有问题 我也很想知道可能是哪边有问题因为这可能是撼动网络安全的超级大事 真心不酸

s大你好，我也是每个平台都有用2FA，我自己也串过第三

如果Steam的资安真的有问题 我觉得会变成橘子那样 十年没用

我也没说你错 因为我更不了解 只是我个人相信会有更聪明的人

帐号又被尝试登入的问题，所以我是真心认为Steam需要

信箱验证防护性本来就比手机低了 你觉得有问题可以回报给steam

已回报喔^^~帐号也找回来了，谢谢h大提醒

现在才意识到 其实我推文主要不是回原po...

哈哈ＸＤ其实google: steam 2fa be stolen会发现，真的不是只有我发生这个问题而已QQ在这边还是在囉唆，希望大家真的要多注意

查了没有最近的

信箱就偶尔会有阿 所以steam也一直要你用手机锁被盗是很惨 但你都说自己是资安背景了 也该知道2FA不是万能的很在意当然是选比较难被破解的

不懂Steam干嘛不直接照FIDO2的规范做2FA就好，使用者可以自己选择要用OTP、实体金钥、手机生物认证

这个可以从两段分析 第一段我会怀疑你的密码组合/输入密码的装置是否有问题 第二段对方对方改掉信箱比较有可能是去客服灰的结果(对方有掌握部分你的帐号活动)

所以你是mail被盗跟steam有关系吗?

也的确难说漏洞会不会是客服XDD 毕竟骇客一大重点就是"社会工程"不是吗XD

客服如果是印度人....

印度人怎么了@@?

STEAM别用信箱验证，有方法免验证的样子。

你说你的电脑里发现有木马，然后发现帐号被盗…嗯….想来想去我觉得好像蛮合理的啊= =

只要可以交易的帐号盗了就是有用啊，跟大小有什么关长期以来一直有一小群人相信Steam资安做得很差，被盗是steam方面出的问题

如果你经常收到试密码或登录的信，那你该想的事，哪边是造成你资料外流的原因？因为平常顶多被试一两次或根本不太会收到，会一直收到表示你的资讯一直被公开所以就一直有人试

先前有个板友 我忘记是哪个ID了 也是说每天都收一堆try2FA的信 但他自己觉得让盗帐号的人一直try很爽 所以死不改密码 我只能说能多一层就是一层 ..有被try就先去改

分开来看吧,steam被登录>信箱验证;信箱被登录>手机验证。 不考虑为什么信箱的手机验证问题，而是steam问题?不过steam帐号密码外流 才是第一个问题lol还是真的有前面推文说 可以绕过信箱验证的?

回136，那个人就4我，但我很清楚2FA要绑手机，因为手机是骇客无法轻易拿到的，还要绕过电信公司，所以我跟这个原Po案例完全不同https://i.imgur.com/zsEKgW2.jpg

其实手机app的2FA跟电信公司没啥关系啦..

就这样我不改密码，也从不用手机的Google登入steam，所以手机2FA永远不可能被绕过

还好我从来不在任何浏览器上登入steam

steam就是浏览器不是吗？

我遇到的状况跟你一样，可以A我id看看。最后是去绑steam的手机app当2FA了可笑的是有一堆推文搞不清楚状况，有兴趣可以去看一下那群小丑先不说我那篇，我看这篇也是有几个连内文都不看的，真的会笑死

代表你电脑已经有问题

EMAIL有2FA? 改资料不用进MAIL?GOOGLE我记得可查询帐号密码是否外流 查看看

有人以为信箱就是guard 小丑无误 笑死

看完这篇立刻启用GUARD

可拨又一个搞不清楚状况的小丑

没用app 被盗有啥好奇怪的

就是好奇明明信箱都绑手机2fa了为什么信箱还能被破解才上来发问，一堆搞不清楚状况的真的很惨给原po: 反正简单来说，最安全的方法是不透过任何媒介直接绑定2fa

老兄不是指你 是说上面打一串还叫人看他文的那个小丑

只要多任何一项媒介就是多一层风险好了啦丑哥，搞不清楚状况就乖乖下去，两个字超级可悲https://i.imgur.com/ymjqcDK.png加油啦丑哥，孤陋寡闻不是你的错所以信箱是不是guard? 连google都不会，真D惨

还是希望大家正视这个问题，希望有相同经验就反应上去不然Steam只会当个案处理

没亲身经历过的人大多只会讲风凉话，要他们正视应该是不太可能，只能多多宣导不要用这种方式去绑2fa，能救一个是一个

信箱2阶被盗之前也有人发过文..请用手机steam guard

做过资安服务就知道 有多少像这样坚持自己没错的人 ㄏㄏ

看你叙述 只收到一封steam验证信 就被破解了？暴力破解不太可能一发就中吧

2FA会认为用手机纯粹就是个习惯而已我就不信你人在台北要去高雄下意识会选择飞机一样一般人会选高铁/台铁，少部分客运，但一定会选你常见的STEAM测帐密一定是用外流的资料，现在没有在暴力破解的想额外管理帐密可以使用1Password这种，记一组就够

已经正确输入帐密了 不然不会收到认证信

间隔2小时不等于花了2小时破解2FA用email的话，据说最多可以等到30分钟，要暴力破5码时间应该够？欸不过输入错误是直接重来吗？没输错过不知道

我不知道为什么 但是好像几年前就留意到Steam手机密钥不需连网、甚至飞航模式下刷新也是能通过认证 所以很可能是你电脑某处被侧录或其他原因导致非即时云端更新的组合被对方暴力破解了两小时后给try到

GOG的2FA也只有Email，连短信都没有

所有的乱数验证都不需要连网吧？还有做不连网的验证器的啊

验证器本来就不需要连网，那个密码是你帐号金钥随着时间运算出来的排除金钥外泄这个极低机率的可能，可能是原PO的电脑连接Gmail的方式被绕过了，所以才说要用手机，安卓整个装置OS都不同，根本绕不了

email里面连结要习惯都别点不论是直接点 或是复制贴上 都会出事

安卓手机有root权限就能拿到金钥了，有在用asf自动交易卡牌的板友应该都知道，甚至还可以使用telegram机器人拿token

各位有在关注电脑的东西的人应该知道林董吧？他google有开2FA 还是被盗走 把他的频道拿去开诈骗直播他是说是用某种方式伪造成符合帐号内设定的信任装置（常用装置）来盗走google帐号所以steam还是用自己的2FA最好 不要让steam依赖google的2FA2FA

这应该是中毒或被木马

每个月都有这种咖

好奇有查过Steam登入记录了吗? IP和时间能知道啥时被登入的有没有可能收到验证码当下已被登入 之后才改信箱再来是被暴力破解登入还是密码外泄 后者的话代表你其他帐号密码也不安全 的确很可能被侧录再来信箱有开POP或IMAP功能吗? 转寄地址也查看一下另外好奇问一下 你Google上次输入帐密登入是多久之前?

楼上是在做稽核484 XDDDD

就好奇阿 盗帐号其实就是各种诈骗的思路 要确认只能1样1样来排除可能性前几年还能够透过钓鱼信取得Google的登入cookie资讯来绕过验证

建议中木马就是直接重灌了，不要再扫了。（防毒板都是这样建议的）然后再干净的接口或其他设备再改一次密码，观察看看还有没有人再试密码。

绑信箱风险还是高

最简单的方式，你换一个一定安全的平台去改密码，电脑先暂时别登入，看看还有没有遇到，如果有就不是电脑的问题，如果没有遇到了就是电脑了

楼主的意思是要表达steam的mail server不安全吧…看到下面讨论串整个离题

其实你登入的话Steam 会寄信通知 就算你马上被改了信箱第一时间寄出的也是先去你原本的信箱 是可以稍微判断问题可能出在哪里 重灌电脑相信很多人都不愿意啦 毕竟程式重装也很耗时

重灌很麻烦 那只好处理较不麻烦的帐号问题了自选有漏洞不会只挑你这个没利润的打草惊蛇 要割就是全割走到这份上还在嫌麻烦 那就自便吧

登入steam不会寄信通知

其实也不算绕过…吧，都把token送人了，肯定能进得来

啧啧啧 他可能觉得Mac无敌的 哪像我上网都要浏览器分开已经外泄还放著不管 这是哪来的资讯从业人

QQ

不太懂为什么一堆人咬定一定是我电脑出问题O.O难道因为Steam很香就一定不会是从那边出漏洞吗O.o

会 但这样就会大规模泄漏 而且你问题这么多 (ﾟ∀。

真的STEAM有问题就是一整票人都会被盗

习惯暴力破解就已经很异常 代表ID跟一些对应过的密码已经晾在网络上很久 是我的话能改就一定改了 把重要的、能改的改改还指望趋势(翻白眼) 重灌了啦 隔离了吧 你肯定热爱冒险自认为很有经验 可是碰上这种问题没有马上去查纪录就很怪我只有碰过晾了十几年的FB帐号被盗过 提醒我一个老密码外泄

好喔，谢谢各位大大指教~^o^~

只有epic会盗你，steam怎么可能有这种问题？一定是你电脑有毒

夸张.....

你自己资安有问题还要怀疑steam错误观念一堆还自以为资安观念很好，难怪被盗还觉得steam有问题