請問板上有人跟我一樣
打開2FA還是被盜帳號的嗎？
我的信箱也有2FA，需要使用手機才能解鎖
結果剛剛Steam發信說我帳戶被改
Steam的資安是狗屎懶蛋做的嗎
在這邊提醒各位小心一點啊

你是不是有登到假網站這種2FA的技術都不是無敵的，如果你有勾「記住此裝置」就更有機會被盜。平常養成好的資安習慣，用密碼管理器並定期更換密碼、2FA設在手機而不是email、不要下載來路不明的程式(尤其是非法的)、點開網站前注意網址是否正確、不要任意關閉防毒軟體。若你有確實做好上面每一項原則再來檢討steam的資安作為吧。

C大說的我捫心自問都有做到，畢竟我自己也是資訊從業人員，所以平常都會注意，永遠都是google進入Steam，不透過第三方連結，平常也都是用官方Desktop version

至於為什麼開了2FA還是會被盜，你可以在YT搜尋「Redline stealer」，簡單來說就是你瀏覽器裡紀錄你已經登入身份的Token被偷了，所以駭客可以繞過2FA登入你的帳號

所以我覺得我已經做得算是密不透風了，還是被盜

原來還有繞過2FA的方法哦

那我也是沒有辦法，這個盜帳號的技術連Google和微軟這種大廠都擋不太住，更別說Valve了，我建議直接重設電腦，畢竟這樣看起來中毒機率比較大，神仙也防不了你被駭

但是改密碼之前不是要去信箱確認？所以原Po的信箱的登入token也被偷？

回16樓：有，而且多的很。所以平時資安的觀念很重要。

看來以後要使用實體金鑰ㄌ

感覺要同時偷兩個地方的token，難度很高而且我信箱還是用手機認證，我剛剛去看了活動紀錄也沒異常，我真心懷疑是Steam可能有leak

Steam應該是不支援實體金鑰的，建議還是把steam guard設在手機App啦，比設在email安全一些。

原來2FA是綁EMail? 綁手機才是真的安全吧綁EMail被盜的已經聽過不少案例了,綁手機的幾乎沒有

有手機驗證之後用到現在沒被登過 帳號13年 給你參考

steam有leak就是大規模了 應該不會只有你

沒有 只有你

有兩階段驗證還被盜那一定是你登入 cookies 洩漏了八成登到哪個偽裝的網站然後洩漏了總不可能連你信箱都被盜，八成是你自己的問題

我記得cookies會記token 可以直接登

我N年沒開過防毒也沒被盜...

提到Steam的二階段驗證就是手機，信箱當作沒有就好

你４８４上惹些不該上der色色網站

手機驗證 密碼幾秒就更新 我自己都很難登入

我還以為你是說手機驗證被盜，結果是信箱…信箱超不安全而且被暴力破解密碼了還不換一下嗎…

f2a設mail已經不知多少案例出事了還不設在手機...

文章代碼#1XTbGMSM 外洩的話...這位大大也太強惹吧阿...他是用手機驗證

到底用信箱登入還是用手機登入阿

他是用信箱驗證然後他的信箱有手機認證這會有問題就是你電腦有木馬的話信箱的cookies 會被偷，可以繞過你信箱驗證這樣的話steam的信箱驗證就掰了我的猜測啦

確實有可能，是我的電腦有木馬

還以為是用App驗證被盜，如果是信箱的話就別特別說自己多注重資安了

真要安全就要連email，都要手機認證登入

我開手機驗證，天天被登持續兩三年了。目前還沒被破解

樓上你電腦基本上也是有木馬的狀態，不掃一下嗎…

2FA有人在綁email喔-.-

案例很多了 說steam的2FA就是指綁手機 email的沒啥用綁手機的 除了自己被釣魚親自把驗證碼輸進去 目前還沒有傳出過被盜的案例

你是2FA掛在信箱那邊 steam guard沒開到手機認證的等級？我是聽說有人在經營youtube頻道 他的google帳號有開2FA但是還是被駭客以其他裝置冒充為信任裝置被盜走帳號 不知道你是不是這種的

你確定那封信是真的？

這樣你應該說你那家信箱的資安是不是狗屎懶蛋做的嗎

我不是資安從業啦 不過我有認識從事實體防盜措施的從指紋辨識到紅外線動作感應器再到防盜箱的他有解釋過實體防盜措施個別都是有弱點的但複合目的是讓破解變得漫長使得破解行為容易被察覺以2FA的郵件通知給你有人在試了 你當稀鬆平常大概就像指紋鎖告訴用戶「欸有人在試門鎖喔」無動於衷你這樣真的叫從業人員嗎

所以我好奇 都沒人懷疑2FA的問題嗎？資安背景的人都被盜了，還在懷疑受害者，到底在信仰什麼？

欸對欸，也有可能信是假的，確認一下是不是真的被改

資訊？資安？ 因為大部分的人都沒事吧，看那個要改到韓國才能連線的就滿多人的

不是欸 2FA不是PTT專用或Steam專用的小圈圈技術 這是2022年幾乎所有有點規模的網站都會使用的技術 如果Steam的2FA有問問題 Steam每分每秒都有1500萬的線上使用者 我覺得不會只有PTT偶爾看到幾個人發文問被盜帳號如果2FA可能有問題 我也很想知道可能是哪邊有問題因為這可能是撼動網路安全的超級大事 真心不酸

s大你好，我也是每個平台都有用2FA，我自己也串過第三

如果Steam的資安真的有問題 我覺得會變成橘子那樣 十年沒用

我也沒說你錯 因為我更不瞭解 只是我個人相信會有更聰明的人

帳號又被嘗試登入的問題，所以我是真心認為Steam需要

信箱驗證防護性本來就比手機低了 你覺得有問題可以回報給steam

已回報喔^^~帳號也找回來了，謝謝h大提醒

現在才意識到 其實我推文主要不是回原po...

哈哈ＸＤ其實google: steam 2fa be stolen會發現，真的不是只有我發生這個問題而已QQ在這邊還是在囉唆，希望大家真的要多注意

查了沒有最近的

信箱就偶爾會有阿 所以steam也一直要你用手機鎖被盜是很慘 但你都說自己是資安背景了 也該知道2FA不是萬能的很在意當然是選比較難被破解的

不懂Steam幹嘛不直接照FIDO2的規範做2FA就好，使用者可以自己選擇要用OTP、實體金鑰、手機生物認證

這個可以從兩段分析 第一段我會懷疑你的密碼組合/輸入密碼的裝置是否有問題 第二段對方對方改掉信箱比較有可能是去客服灰的結果(對方有掌握部分你的帳號活動)

所以你是mail被盜跟steam有關係嗎?

也的確難說漏洞會不會是客服XDD 畢竟駭客一大重點就是"社會工程"不是嗎XD

客服如果是印度人....

印度人怎麼了@@?

STEAM別用信箱驗證，有方法免驗證的樣子。

你說你的電腦裡發現有木馬，然後發現帳號被盜…嗯….想來想去我覺得好像蠻合理的啊= =

只要可以交易的帳號盜了就是有用啊，跟大小有什麼關長期以來一直有一小群人相信Steam資安做得很差，被盜是steam方面出的問題

如果你經常收到試密碼或登錄的信，那你該想的事，哪邊是造成你資料外流的原因？因為平常頂多被試一兩次或根本不太會收到，會一直收到表示你的資訊一直被公開所以就一直有人試

先前有個板友 我忘記是哪個ID了 也是說每天都收一堆try2FA的信 但他自己覺得讓盜帳號的人一直try很爽 所以死不改密碼 我只能說能多一層就是一層 ..有被try就先去改

分開來看吧,steam被登錄>信箱驗證;信箱被登錄>手機驗證。 不考慮為什麼信箱的手機驗證問題，而是steam問題?不過steam帳號密碼外流 才是第一個問題lol還是真的有前面推文說 可以繞過信箱驗證的?

回136，那個人就4我，但我很清楚2FA要綁手機，因為手機是駭客無法輕易拿到的，還要繞過電信公司，所以我跟這個原Po案例完全不同https://i.imgur.com/zsEKgW2.jpg

其實手機app的2FA跟電信公司沒啥關係啦..

就這樣我不改密碼，也從不用手機的Google登入steam，所以手機2FA永遠不可能被繞過

還好我從來不在任何瀏覽器上登入steam

steam就是瀏覽器不是嗎？

我遇到的狀況跟你一樣，可以A我id看看。最後是去綁steam的手機app當2FA了可笑的是有一堆推文搞不清楚狀況，有興趣可以去看一下那群小丑先不說我那篇，我看這篇也是有幾個連內文都不看的，真的會笑死

代表你電腦已經有問題

EMAIL有2FA? 改資料不用進MAIL?GOOGLE我記得可查詢帳號密碼是否外流 查看看

有人以為信箱就是guard 小丑無誤 笑死

看完這篇立刻啟用GUARD

可撥又一個搞不清楚狀況的小丑

沒用app 被盜有啥好奇怪的

就是好奇明明信箱都綁手機2fa了為什麼信箱還能被破解才上來發問，一堆搞不清楚狀況的真的很慘給原po: 反正簡單來說，最安全的方法是不透過任何媒介直接綁定2fa

老兄不是指你 是說上面打一串還叫人看他文的那個小丑

只要多任何一項媒介就是多一層風險好了啦丑哥，搞不清楚狀況就乖乖下去，兩個字超級可悲https://i.imgur.com/ymjqcDK.png加油啦丑哥，孤陋寡聞不是你的錯所以信箱是不是guard? 連google都不會，真D慘

還是希望大家正視這個問題，希望有相同經驗就反應上去不然Steam只會當個案處理

沒親身經歷過的人大多只會講風涼話，要他們正視應該是不太可能，只能多多宣導不要用這種方式去綁2fa，能救一個是一個

信箱2階被盜之前也有人發過文..請用手機steam guard

做過資安服務就知道 有多少像這樣堅持自己沒錯的人 ㄏㄏ

看你敘述 只收到一封steam驗證信 就被破解了？暴力破解不太可能一發就中吧

2FA會認為用手機純粹就是個習慣而已我就不信你人在台北要去高雄下意識會選擇飛機一樣一般人會選高鐵/台鐵，少部分客運，但一定會選你常見的STEAM測帳密一定是用外流的資料，現在沒有在暴力破解的想額外管理帳密可以使用1Password這種，記一組就夠

已經正確輸入帳密了 不然不會收到認證信

間隔2小時不等於花了2小時破解2FA用email的話，據說最多可以等到30分鐘，要暴力破5碼時間應該夠？欸不過輸入錯誤是直接重來嗎？沒輸錯過不知道

我不知道為什麼 但是好像幾年前就留意到Steam手機密鑰不需連網、甚至飛航模式下刷新也是能通過認證 所以很可能是你電腦某處被側錄或其他原因導致非即時雲端更新的組合被對方暴力破解了兩小時後給try到

GOG的2FA也只有Email，連簡訊都沒有

所有的亂數驗證都不需要連網吧？還有做不連網的驗證器的啊

驗證器本來就不需要連網，那個密碼是你帳號金鑰隨著時間運算出來的排除金鑰外洩這個極低機率的可能，可能是原PO的電腦連接Gmail的方式被繞過了，所以才說要用手機，安卓整個裝置OS都不同，根本繞不了

email裡面連結要習慣都別點不論是直接點 或是複製貼上 都會出事

安卓手機有root權限就能拿到金鑰了，有在用asf自動交易卡牌的板友應該都知道，甚至還可以使用telegram機器人拿token

各位有在關注電腦的東西的人應該知道林董吧？他google有開2FA 還是被盜走 把他的頻道拿去開詐騙直播他是說是用某種方式偽造成符合帳號內設定的信任裝置（常用裝置）來盜走google帳號所以steam還是用自己的2FA最好 不要讓steam依賴google的2FA2FA

這應該是中毒或被木馬

每個月都有這種咖

好奇有查過Steam登入記錄了嗎? IP和時間能知道啥時被登入的有沒有可能收到驗證碼當下已被登入 之後才改信箱再來是被暴力破解登入還是密碼外洩 後者的話代表你其他帳號密碼也不安全 的確很可能被側錄再來信箱有開POP或IMAP功能嗎? 轉寄地址也查看一下另外好奇問一下 你Google上次輸入帳密登入是多久之前?

樓上是在做稽核484 XDDDD

就好奇阿 盜帳號其實就是各種詐騙的思路 要確認只能1樣1樣來排除可能性前幾年還能夠透過釣魚信取得Google的登入cookie資訊來繞過驗證

建議中木馬就是直接重灌了，不要再掃了。（防毒板都是這樣建議的）然後再乾淨的介面或其他設備再改一次密碼，觀察看看還有沒有人再試密碼。

綁信箱風險還是高

最簡單的方式，你換一個一定安全的平台去改密碼，電腦先暫時別登入，看看還有沒有遇到，如果有就不是電腦的問題，如果沒有遇到了就是電腦了

樓主的意思是要表達steam的mail server不安全吧…看到下面討論串整個離題

其實你登入的話Steam 會寄信通知 就算你馬上被改了信箱第一時間寄出的也是先去你原本的信箱 是可以稍微判斷問題可能出在哪裡 重灌電腦相信很多人都不願意啦 畢竟程式重裝也很耗時

重灌很麻煩 那只好處理較不麻煩的帳號問題了自選有漏洞不會只挑你這個沒利潤的打草驚蛇 要割就是全割走到這份上還在嫌麻煩 那就自便吧

登入steam不會寄信通知

其實也不算繞過…吧，都把token送人了，肯定能進得來

嘖嘖嘖 他可能覺得Mac無敵的 哪像我上網都要瀏覽器分開已經外洩還放著不管 這是哪來的資訊從業人

QQ

不太懂為什麼一堆人咬定一定是我電腦出問題O.O難道因為Steam很香就一定不會是從那邊出漏洞嗎O.o

會 但這樣就會大規模洩漏 而且你問題這麼多 (ﾟ∀。

真的STEAM有問題就是一整票人都會被盜

習慣暴力破解就已經很異常 代表ID跟一些對應過的密碼已經晾在網路上很久 是我的話能改就一定改了 把重要的、能改的改改還指望趨勢(翻白眼) 重灌了啦 隔離了吧 你肯定熱愛冒險自認為很有經驗 可是碰上這種問題沒有馬上去查紀錄就很怪我只有碰過晾了十幾年的FB帳號被盜過 提醒我一個老密碼外洩

好喔，謝謝各位大大指教~^o^~

只有epic會盜你，steam怎麼可能有這種問題？一定是你電腦有毒

誇張.....

你自己資安有問題還要懷疑steam錯誤觀念一堆還自以為資安觀念很好，難怪被盜還覺得steam有問題