最后要说最有效的盗号手段——盗取邮箱。由于Steam账号的最高权限属于初始邮箱，无论之后如何更改邮箱和手机号，初始邮箱拥有者凭借初次购买的截图永远可以发起申诉，找回账号。这也意味着，如果邮箱被盗，盗号者可以绕过账号、密码，直接获得账号的所有权限，此时手机令牌也毫无作用。

通常，盗号者的操作神不知鬼不觉，他会将申诉以及解绑手机密码、更换邮箱等步骤的所有邮件都删掉，再将恢复账号的次数尝试到上限，这样，玩家就无法在12小时内快速恢复账号。玩家发现自己无法登录Steam时已经为时已晚，等到这12个小时过去，找回的账号多半早就因为开挂被封了。

至于盗号者是如何盗取邮箱的，最常见的方法是直接撞库。因为网易邮箱在2015年有一次大规模的数据库泄露事件，波及账号接近5亿个，很多盗号者直接用这些数据进行比对，盗取邮箱。此外，其余的国内邮箱也有不同程度的数据泄露，如果你恰好使用这些邮箱进行注册，且事后没有改过密码，那么很容易通过简单的比对就被盗号。

另外，目前针对单密码保护的邮箱，尤其是弱密码邮箱，暴力破解并非难事。当然也有盗号者会用泄露的数据库直接撞Steam账号，因而一些习惯用单个账号、密码的玩家就难免会中招。其次就是通过各种渠道挂木马，引导用户中病毒来盗窃账号，这种方法就不再赘述了。

总的来说，Steam账号本身安全措施就比较薄弱，手机令牌在关键时刻作用有限，也没有现代App常用的诸如手机验证码、扫描二维码或推送一键登录等功能。再加上很多用户对于Steam账号的权限和处理不甚明了，也没有查阅邮箱的习惯（甚至连邮箱推送都没有），无法在第一时间发现账号被盗，这些都给了盗号者可乘之机。

玩家如何防止被盗号？

明白了原理，接下来谈谈如何保护个人的Steam账号。对于较为简单的钓鱼网站和键盘记录等盗号手段而言，采用手机令牌还是有效的，它生成的动态密码可以有效地阻拦盗号者。但很多人因为怕麻烦，或不知道如何绑定Steam手机App，也就没有绑定令牌，甚至不知道手机上还有Steam客户端，就很容易导致账号被盗。目前使用Steam手机令牌的简便方法是使用网易UU加速器手机版，可以免费加速手机Steam客户端从而连上手机令牌。

对于邮箱密码的保护，目前最好的办法就是绑定相关的手机App安全中心。无论是网易、QQ还是新浪邮箱，都有对应的安全中心可以使用，采用扫二维码或者两步验证的方式，都可以有效地阻止异地以及新设备的访问，进而保护自己Steam账号的安全。更保险的方法是用境外邮箱，如Gmail等，注册Steam账号，可以有效避免邮箱被破解，但是如果已经使用了国内邮箱进行注册，也没必要强行换成境外邮箱地址。

相关报道: