紧急更新:近期 Valve社已经对 Steam令牌的API做出了改动,使用原版的 SDA和 WinAuth均无法确认社区市场交易。目前 GitHub上有三方玩家自行编译 Fork的临时修复版 ,因非官方版本风险考虑,也请酌情尝试,且无法再显示上架内容(仅能一次性确认)。
第三方版本:therepower/SteamDesktopAuthenticator-Temporary-Fix
Steam有一个基于私有OTP格式的两步验证器,通过手机上安装V社官方的Steam App绑定令牌验证。
只有绑定了令牌的账号才可以在社区市场上交易。
然而,V社官方的App可靠性非常差,域主我自己又有很多手机,换一次手机是非常麻烦的事情:没电了、卡顿了……远不及许多开放且广泛采用的标准TOTP验证器。
后来我又发现了 Steam Desktop Authenticator(简称SDA)和WinAuth两款开源的Steam验证器,可以直接在电脑绑定令牌,还能直接操作社区市场的上架批准
两者都是Win32的便携式桌面软件。SDA的界面较为原始,WinAuth则是类似于Win8 Metro的风格,不过也都是交互式的界面,添加账号的流程和原本手机是一样的,只要能看懂英语,操作算是简单的了。
原理是通过模拟Android端Steam app的UA获得Token绑定令牌验证。可以将Token导出maFiles到其他的验证器中(比如Keepass),包括两者之间,但一般使用SDA登录、WinAuth导入。
而WinAuth的验证器功能不仅限于Steam,还支持其他平台的OTP验证令牌,并且可以使用Windows用户加密(不过我这种装了多系统的应该不会考虑了……自带加密足矣)
相比于普通的OTP验证器,两者还支持Steam的社区市场上架批准功能,CSGO一些贵重的箱子、饰品就可以直接操作(比如梦魇武器箱),不用像以前那样频繁打开手机了。
弊端:
理论上在电脑上绑定令牌的安全性还是不及手机,SDA的GitHub Repo就有这个警告,假如电脑感染了病毒,劫持令牌验证,也是有可能的事情(我有个好友就曾被网站劫持过,还好在手机上绑定了令牌,没有影响到重要的库存)
不过手机也有被窃失的风险,我还是信任一直放在家里的电脑
令牌最好还是存储在主机外的一个安全区域,用另一台开启了防火墙隔离的电脑操作(比如虚拟机),也就是“冷钱包”的模式,并建议备份一个副本以备不时之需。虽然为此专门装台电脑确实有点奢侈了些……
另外是Steam随时有可能更新令牌验证的方式,因此一定要去后台保存一下Steam令牌的 备份代码 ,如果哪天开源方案的验证器也不能用了,这应该是令牌失效的最后一根救命稻草。