你现在能立刻说出来自己所有互联网账号的密码吗？我问过身边十几个游戏圈的朋友，没有一个人能做到，我们现在平均每个人有将近40个互联网账号，从Steam、Epic的游戏账号，到微信支付宝的支付工具，从视频会员到工作账号，没人能记住所有密码，密码查看”成了我们每天都用的功能——浏览器帮我们存密码，忘了点一下就能看；密码管理器存了密码，一键就能调出来；甚至手机备忘录里，很多人直接把密码写在里面,打开就能看。

但绝大多数人都没想到，这个帮我们解决麻烦的小功能，居然成了很多不法分子盯上的安全入口，我今年就亲眼见过身边朋友因为随便开放密码查看权限，损失了大几千块，而根据今年最新的安全报告，超过六成的网络盗号、盗号事件,都和用户随意泄露密码查看权限有关。

你根本想不到：密码查看权限能做这么多事

很多人对密码查看的认知，还停留在“我自己忘了密码看看”，根本不知道只要你给了第三方应用密码查看权限，对方就能直接把你手机、浏览器里存的所有密码拿走，根本不用费尽心机破解。

今年春天我朋友小A出差去上海，住了一家评分不低的连锁酒店，累了一天想躺着看综艺，就按照电视提示扫了码登录自己的视频会员，扫码之后手机弹出一个权限申请，写着“需要获取密码查看权限以完成同步登录”，小A没多想就点了同意——她以为这就是登录会员的必要步骤，根本没当回事，结果三天后她回到家，刚收到银行的刷卡提醒，才发现自己的银行卡被异地盗刷了2800多块,买了两个虚拟游戏点卡。

她去派出所报案，调出来的流向信息让她后背发凉：盗刷她银行卡的骗子，根本没有破解她的密码，就是那个恶意插件拿到了她手机浏览器的密码查看权限，直接导出了她存在浏览器里的银行卡支付密码和身份证号，轻轻松松就完成了盗刷，而这种事,绝不是个例。

2024年3月，浙江省消保委发布了一份针对省内酒店民宿智能设备的安全抽检报告，工作人员一共抽检了120台不同档次酒店、民宿的智能电视，结果居然有37台电视预装了恶意插件，只要用户扫码登录会员、投屏，就会自动向用户手机申请密码查看权限，一旦用户同意，所有存放在手机里的账号密码都会自动发送到骗子的境外服务器，这个报告出来的时候，很多网友才反应过来，自己之前住酒店扫过那么多次码,原来早就把密码拱手送人了。

放到我们游戏圈，这种陷阱更是常见，去年《黑神话：悟空》发售前，就有一堆骗子做了假的“提前测试版”安装包，发到各大游戏群、论坛里引流，好多玩家忍不住好奇去下载，结果安装包绑了木马，自动申请了电脑的密码查看权限，不光Steam账号被盗，里面价值几千几万的游戏库存被洗空，连带存的支付密码也被偷走，光是我所在的五百人玩家群，就有三个玩家中招，最多的一个人损失了两万多,找了Steam客服申诉折腾了一个多月都没找回来。

为什么我们会对密码查看的风险毫无防备？

我之前翻了很多安全专家的采访，大家都提到一个很有意思的点：现在绝大多数网络安全事件，本质上不是骗子技术有多高明，而是用户根本不知道自己随手点的“同意”，到底意味着什么。

2024年5月中国互联网协会发布了最新的《中国网民网络信息安全状况调查报告》，里面的数据很能说明问题：超过72%的网民安装APP的时候，从来不会看权限申请列表，都是直接拉到最下面点同意；超过60%的网民根本说不清楚“密码查看权限”“读取存储权限”到底能做什么，只觉得这是APP要使用的权限，不给用不了,那就给呗。

我妈就是很典型的例子，她今年六十多，平时也爱玩点消消乐之类的小游戏，之前手机提示内存不足，她就在应用商店下了一个免费的手机清理APP，安装的时候一堆权限申请，她看不懂，全点了同意，她习惯把银行卡密码、微信支付密码都写在手机备忘录里，结果不到半个月，就接到了诈骗电话，对方不光报出了她的银行卡尾号，还说知道她儿子我在哪上班，吓的她好几天睡不着觉，后来我帮她查权限，才发现那个清理APP早就申请了密码查看权限,把她备忘录里的密码全拿走了。

还有一个很重要的原因，就是很多APP和网站都会把危险权限包装成看起来很正常的名称，比如把密码查看权限包装成“同步账号信息”“加载网页内容”“优化登录体验”，普通用户根本分辨不出来哪个是安全的，哪个是危险的，你想啊，你连酒店Wi-Fi，弹出一个框说“需要密码查看权限才能登录上网”，大部分人都会直接点同意吧？谁能想到这是钓鱼呢？我们下游戏破解补丁的时候，安装程序说“需要读取存储权限解压文件”，你能想到这个权限其实就是密码查看,能把你电脑里存的Steam密码全拿走吗？

还有很多人抱有侥幸心理：我就是一个普通人，银行卡里也没多少钱，骗子盯上我干嘛？这种想法真的太危险了，我之前看到2024年年初的一个新闻，山东一个大二的游戏玩家，就是随便给一个免费的游戏模组APP开了密码查看权限，对方拿到了他的身份证号、银行卡密码，还有他存的学生证照片，用他的身份在三个网贷平台借了八万多，最后直到催债电话打到学校，他才知道出事了，八万多对于一个普通家庭的学生来说，不是小数目，最后还是他爸妈拿出准备给他买房的首付才填上坑，还差点影响了他的征信，毕不了业，你说，这祸从天降,找谁说理去？

那些藏在你身边的密码查看陷阱，你中了几个？

我整理了一下今年安全圈曝光最多的几个密码查看陷阱，基本上每个人都遇到过，不妨对着看看：

第一个就是公共场景的智能设备，刚才说的酒店民宿的智能电视、共享KTV的点歌屏、商场的共享充电线，只要你扫码登录，十有八九会找你要权限，很多都是藏着恶意插件，就等你点同意，尤其是很多低价民宿，为了赚外快，甚至会主动装这种插件，一条用户密码信息卖给黑产能赚好几块，一个民宿一个月能偷几千条,利润比房费还高。

第二个就是免费的第三方密码管理工具，很多人记不住几十个游戏账号、平台账号的密码，就去应用商店搜“免费密码管理”，下那种小厂商做的APP，把所有密码都存在里面，方便自己查看，结果呢？2024年上半年国家网信办下架的52款违规APP里，有18款就是这种免费密码管理器，这些APP本身就是黑产做的，你把密码存在上面，方便你自己查看，也方便黑产批量导出卖钱，相当于你把所有家财都放到小偷家里,不出事才怪。

第三个就是浏览器自带的密码查看功能，这个其实是最容易被忽略的，现在几乎所有浏览器都有保存密码、一键查看的功能，很多人不管什么账号，Steam也好支付宝也好，都点保存，方便自己用，但你知道吗？只要别人能拿到你的设备，或者你的浏览器账号被盗了，对方就能直接在设置的密码管理里面，看到你所有保存的明文密码，根本不需要破解，我之前就帮一个同事修公司的公用电脑，他离职了，电脑开不了机，我进去修，结果不小心点开浏览器的密码管理，直接看到了他的网银密码、股票账号密码，吓的我赶紧关了，他自己根本没想到，公用电脑存密码,任何人都能看。

我还有一个做游戏主播的朋友，去年就是吃了这个亏，他把直播账号、后台、各个平台的账号密码都存在Chrome浏览器里，开了同步，结果他的浏览器账号用了弱密码，被黑客撞库盗了，黑客直接进去看到了所有账号密码，直接把他那个十几万粉丝的游戏账号给盗了，还把他直播后台的礼物钱提走了，他折腾了半年才找回来，光是违约的广告费就赔了十几万,损失惨重。

第四个就是手机备忘录存密码，很多人觉得备忘录只有我自己能看，存在里面没事，结果现在很多笔记APP、备忘录APP都会申请密码查看权限，你只要给了，对方就能直接读取你写的所有内容，密码自然也就泄露了，就算是手机自带的备忘录，如果你开了云同步，同步权限给了第三方,一样会漏。

保护自己，其实只要做好这几件小事

说了这么多危险，很多人可能会说，那我不用密码查看功能了？也不至于，密码查看本来是方便我们生活的工具，对于我们记不住那么多密码的玩家来说更是刚需，只要做好防护，完全可以安心用，我自己总结了几个很容易做到的习惯，分享给大家：

第一，非必要不给任何第三方APP开密码查看、读取全存储的权限，除了手机官方自带的密码管理工具，比如苹果的iCloud钥匙串、安卓大厂自带的密码管理，其他任何APP，不管是清理软件还是壁纸APP还是游戏模组、私服登录器，找你要密码查看权限，直接拒绝，大不了不用就是了，一点损失都没有，比被盗刷强，真的要记密码,用官方工具绝对比不知名的第三方靠谱一万倍。

第二，公共设备、陌生链接不要随便存密码，不要随便点同意权限，住酒店尽量不要扫电视的码登自己的账号，非要登，用完之后及时退出，删掉授权；连公共Wi-Fi的时候，弹出不明权限申请，直接关掉，不要碰，尽量用自己的手机流量，公用电脑千万不要点“记住密码”，用完一定要退出所有账号，不然任何人都能打开浏览器看你的密码，下游戏尽量去官方平台下，不要贪便宜下什么提前版、破解版外挂，绝大多数都是带木马的,就是来偷你密码的。

第三，重要密码不要存在一个地方，定期查权限，我自己的习惯是，支付密码、Steam交易密码从来不会存在任何在线工具里，只记在脑子里，账号和密码分开存，就算账号泄露了，密码也漏不了，每个月我都会抽五分钟，打开手机的权限管理，翻一遍所有APP的权限，把那些很久不用的APP的所有权限都关掉，把不该给密码查看权限的都关掉，五分钟就能做完,能省很多事。

在这里我也想说说我自己作为游戏自媒体从业者的观点：其实密码查看这件事，反映的是我们现在数字生活的一个普遍问题——很多功能厂商做出来方便用户，但是根本不会明明白白告诉用户这个功能背后的风险，监管虽然越来越严，但是总有漏网之鱼，尤其是游戏圈这种灰色地带多的地方，私服、外挂、破解版到处都是，最后风险还是要我们用户自己承担，我们不能指望骗子良心发现，也不能指望所有厂商都守规矩，只能自己多留一个心眼，不要随便点同意，不要贪小便宜用那种免费的未知工具，毕竟数字时代，你的密码就是你所有财产的钥匙，你的游戏库存、你的直播账号、你的钱都在里面，随便把钥匙给别人,不是等着人家上门偷吗？

之前还有人跟我说，不就是个密码吗，我买了保险，被盗了会赔，但是你有没有想过，就算钱赔给你了，你的身份信息泄露了，你的游戏账号找不回来了，骗子拿你的信息去做违法的事，这个麻烦谁能替你承担？很多损失根本不是钱能解决的。

说白了，数字时代的安全，从来都不是什么高大上的技术问题，就是藏在一个个小细节里，你多花十秒钟看一眼权限申请，多留一个心眼，就能避免90%的风险，密码查看不是洪水猛兽，但是也绝不是可以随便给人的权利，看好你的密码，就是看好你自己的游戏账号，看好你自己的钱袋子,看好你自己的生活。