前几个月正好换了手机，但是一直没有迁移Steam令牌。
一旦迁移到新设备，我第三方验证器上保存的Steam 2FA就失效了。
正好趁此机会记录一下Steam 2FA密钥的获取过程。

1. 移除旧令牌。移除时会要求验证，各种验证方式都可以完成移除步骤。
   

   

   image1920×1304 90.1 KB
   
   
   

   image865×626 31.4 KB
   
   
   

   image751×296 31 KB

2. 下载ASF，预览版就可以：Releases · JustArchiNET/ArchiSteamFarm · GitHub

3. 配置ASF，只需配置bot就行：ASF web config
   bot名称不重要。输入steam用户名密码并选择Enable启用这个配置（不要把用户名输错成昵称）。点击Download下载这个配置文件，文件名：[bot名称].json。
   

   

   image1151×861 25.2 KB

4. ASF解压后，到它的config目录，把下载的json配置文件放进去。
   

   

   image845×570 44.5 KB

5. 在开始前，请确保启用加速或其他解决Steam访问问题的工具，否则可能无法建立连接。

6. 启动ASF根目录下的 ArchiSteamFarm.exe，此时应该会需要你输入一个通过邮箱/短信发送的验证码，请输入来完成登录。
   

   

   image1060×467 36 KB

7. 按“C”进入命令输入模式，输入 2fainit [bot名称]
   

8. 此时如果有邮箱/短信发送的验证码，请忽略。

9. 打开手机steam，添加一个新令牌并按照正常流程完成绑定。

10. 继续在 ArchiSteamFarm.exe 界面输入命令：2fafinalized [bot名称] <刚刚配置的手机令牌码>
    （我只有一个bot，没写bot名也不要紧）
    

11. 如果没有错误，查看config目录中应该会有 [Bot名称].maFile.NEW，使用文本编辑器打开它。
    

    

    image701×337 45.7 KB

12. 在文件中会看到这样的字段："uri": "otpauth://totp/Steam:steamid?secret=********************************&issuer=Steam"
    这里secret的值就是需要的密钥。
    比如 Bitwarden / Vaultwarden 中就是 steam://********************************
    

    

    image824×748 31.5 KB

13. 到这里配置就完成了，Steam令牌码和第三方验证器会显示相同的验证码。
    

    

    image832×741 28.4 KB

我来一个更简单的，用steam++登录并配置TOTP，复制secret等信息，然后组装成steam://***，就可以弄到bitwarden了。

但这样没办法在手机端steam上确认交易，扫码登录，只能通过steam++的asf
楼主这样既获取mafile，也不影响手机端令牌，还免root

这个方法确实好用，之前我都是用xposed的steamguarddump模块，每次steam客户端更新都要重新用lspatch修补一次，免root但很麻烦

可以的，非常好用，感谢

为啥这么麻烦的。。。

是不是只有我装了 steam 的 app

APP是必须要装的，因为确认交易要用到。
这里我做的就是拿到生成令牌的验证器密钥。
如果你有root权限就能直接从手机上拿到。但是如果你无法root就要参考这个步骤操作了。

那你有app了还搞出去干嘛啊

因为自己的验证器更丝滑。现在从steam看令牌比较麻烦：
1、打开steam
2、点击steam底部的安全
3、验证指纹/pin
4、点击设置
5、点击获取令牌验证码
6、显示令牌验证码
7、输入登录界面
而自己的验证器插件可以丝滑完成所有填写工作：
1、点击自动填错按钮
2、选择账号点击登录，验证码自动完成复制
3、粘贴验证码，点击验证

我现在都扫码登录

实在想不到，扫码登录变成了最方便的一个

扫码也需要网络连接正常，手机还要先开梯子或者加速器。然后还会出现防诈骗提醒，问你是在哪里登录的、是不是为竞标赛投票什么的。

哦对，那个问你在哪太讨厌了。每次都很迷惑，我也不知道在哪反正每次都要错一次。哈哈哈哈哈

有多账号的话，可能还是自己导出来会方便一点。
导出steam令牌码也是个小众需求 ，感觉这里分享一下也挺合适。

不，我觉得是大众需求。我刚刚去领那个限免，就在网页上被阻止登录了

来画个图：

flowchart TB
    S[开始登录 Steam]

    %% 左侧：Steam 官方令牌（繁琐）
    S --> L1[打开 Steam App]
    L1 --> L2[点击底部「安全」]
    L2 --> L3[验证 指纹 / PIN]
    L3 --> L4[点击「设置」]
    L4 --> L5[点击「获取令牌验证码」]
    L5 --> L6[显示令牌验证码]
    L6 --> L7[切回登录界面]
    L7 --> L8[手动输入验证码]
    L8 --> E[登录完成]

    %% 右侧：第三方二次验证应用
    S --> R1[点击「自动填充」按钮]
    R1 --> R2[选择账号并点击登录]
    R2 --> R3[验证码自动生成并复制]
    R3 --> R4[自动 / 一键粘贴验证码]
    R4 --> E

    %% 分组
    subgraph 左侧["Steam 官方令牌"]
        L1
        L2
        L3
        L4
        L5
        L6
        L7
        L8
    end

    subgraph 右侧["第三方二次验证应用"]
        R1
        R2
        R3
        R4
    end

没人现在使用邮件吗？

邮件的问题是，要等。而且邮件等待的时候一般比短信还长一些

因为日常pc用web端不想掏出手机登录

以前旧版的steam Android 好搞，现在挺麻烦的，我23年重置过 totp，所以在新版本也搞过，当时写了一篇笔记，不确定是否还能用，分享出来给大家吧

以下方法等同于放弃 steam移动端 totp，将其完全转移至第三方密码管理器

通过SteamDesktopAuthenticator获取新版本的Steam令牌

1. SteamDesktopAuthenticator : GitHub - Jessecar96/SteamDesktopAuthenticator: Desktop implementation of Steam’s mobile authenticator app
2. 这是一个PC上的Steam二次验证器
3. 由于Steam推出了新版本的移动客户端v3，导致旧版本v2不在可用，且原本获取Steam令牌secret的方法不再可用，因此可以使用此程序来提取
4. 前提：移除原有的Steam令牌，如果没有移除，则无法正常进行，因为这个过程相当于给一个没有Steam令牌的账户设置一个Steam令牌
5. 步骤：
   1. 移除原有的steam令牌
   2. 下载并打开此程序，需要在代理环境下
   3. 使用Steam用户密码登录
   4. 根据收到的邮件填写 登录验证码
   5. 提示加密你的密钥 这里点击cancel 不加密密钥，需要注意这一步的操作没有加密我们才可以看到明文，否则下发的密钥，仍然会被该软件加密，导致我们正常迁移至[[Bitwarden]]等第三方密码管理器使用，但是使用明文也会带来安全风险 PS:需要注意使用 SDA v1.0.12 ,测试发现 v1.0.14 pre 版本点击 cancel 之后会报错
   6. 弹出提示，注意，这里需要记录下来 恢复代码，一般是R开头的，加5位数字 ，需要记录下来 非常重要 ，日后找回账户的必备条件，同时后续操作也需要再次验证
   7. 手机号会收到一条Steam的短信 快验证：<验证码>
   8. 在提示框输入该手机验证码
   9. 提示输入你的恢复代码已验证你已经记下了该恢复代码
   10. 输入之后就会完成绑定steam令牌操作
   11. 在此程序的目录下 .\maFiles\<steamid>.maFile 这个文件用记事本打开
   12. 找到URI字段中的参数 secret
   13. 记录到Bitwarden即可,格式：steam://<secret>
6. 建议：使用以上操作后，删除软件，并加密备份相应的文件，以防明文密钥泄露，此外，请务必记住 恢复代码

写于 2023-09-26 15:43:22 ，不确定是否还有效

现在有工具抓otpauth了？我之前是用fiddle抓的，然后倒入到keepassXC用。