[閒聊] Steam Guard 手機驗證器驗證原理

看板Steam (線上遊戲平台)作者k70709 (嘎肉)時間8年前 (2015/12/04 14:03)推噓8(8推 0噓 9→)

留言17則, 9人參與討論串1/1

Steam所用代碼驗證器是使用非標準的TOTP 詳細可以查查Google Authenticator的原理但是Steam上因為相容舊有的驗證系統(信箱) 簡單解釋一下基本原理當Steam Apps登錄後，雙方會自動取得共享金鑰並儲存下來雙方利用此共享金鑰加上時間(可能用30-60秒間隔)來做計算用戶→金鑰+時間→計算當前的驗證碼→Steam伺服器端伺服器端的驗證方式我不確定，不過基本上就下面二種 1.Steam 伺服器端→收到驗證碼→驗證碼+時間→反推金鑰→驗證金鑰是否正確 2.Steam 伺服器端→收到驗證碼→(共享金鑰+時間)算出驗證碼→比對驗證碼是否正確我認為第二種可能性比較高時差部份沒問題，只要計算時用雙方統一使用UTC+0的時區即可同步手機app無網路也沒關係，你已經有共享金鑰+時間，只要注意時間是否有校正至標準時間當你手機時間有誤差太大時，所計算出來的驗證碼就會跟Steam端的驗證碼不符合即使你手上的金鑰是正確的，也會因為時間的關係產生出錯誤的驗證碼另外提醒一下有用APP驗證的版友們，備用代碼≠救援代碼備用代碼是你臨時忘了帶手機，要登入STEAM時用的一次性代碼用完就會註銷而救援代碼是你手機遺失時，要移除掉App驗證時用的救援代碼取得方式 Steam Mobile的Steam Guard裡取得並保存好 ┌────────────┐ │≡ Steam Guard │ ├────────────┤ │ S T E A M │ │□□███████□□ │ │ Steam Account │ ├────────────┤ ╞════════════╡ │設定 │ │Steam 行動驗證器 │ ├────────────┤ │My Recovery Code │ ├────────────┤ │幫助 │ ├────────────┤ │ │ │ │ │ │ │ │ │ │ │ │ └────────────┘ 救援代碼的格式為R+上五個數字例：R12345 如果手機掉了，還能用救援代碼去取消手機App驗證備用代碼取得方式請使用Steam用戶端或是網頁進入下面取得 https://store.steampowered.com/twofactor/manage -- 玩家與遊戲平台的愛恨情仇 Steam ：75%off Gabe你讓我好痛苦. GFWL ：快死吧!!快死吧!! Origin：我不要你!!你走!!你走呀!! UPlay：要玩弄我到什麼時候..? Desura：你是誰?我認識你嗎? DRM-Free：好久不見~近來可好? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.104.190 ※ 文章網址: https://www.ptt.cc/bbs/Steam/M.1449208980.A.257.html

推

oas

12/04 14:12, , 1^F

12/04 14:12, 1^F

→

KeyFSN

12/04 14:25, , 2^F

12/04 14:25, 2^F

正常是單向，但是我不知道Steam會不會用其他方法 ※ 編輯: k70709 (122.117.104.190), 12/04/2015 14:59:59

→

howar31

12/04 15:27, , 3^F