目前来看邮箱两步验证的上线似乎过于匆忙了，@stu.pku.edu.cn托管在网易还好，@pku.edu.cn目前个人体验下来至少存在以下两个问题：

1. 两步验证实质形同虚设，众所周知mail.pku.edu.cn的登录密码一般情况下都是IAAA的密码，直接从its/portal的导航栏上重定向到mail就可以绕开两步验证直接进入邮箱。那这两步验证有什么意义呢，难道只是防止攻击者用邮箱别名+密码盗用邮箱，还是说认为攻击者连最基本的社会工程学都不会，钓到了密码开不出学号或者教工号？能绕过的原因也很简单，重定向到mail不需要登录，那自然就没有发生两步验证，这很符合逻辑，但这真的合理吗？

2. 在英文界面的mail.pku.edu.cn下登录邮箱，短信验证码永远无法发出，必须切换回中文界面。尝试抓了一下发送短信验证码的请求，乍一眼没看出什么明显问题，但实在没心情盯着混淆过的JS硬debug了。贵校把操作系统和浏览器默认语言设置成英文的师生应该不少，虽然这不是什么大问题，但来回切还是有点抓狂的。

这两个问题归根结底还是把@pku.edu.cn的两步验证写在mail.pku.edu.cn的登录过程中了，能理解为啥如此，但确实感觉目前的邮箱两步验证颇有种形式主义的美。话虽这么说，两步验证本身还是对安全性有很大帮助的，而且计算中心老师加这个功能也不容易，所以还是希望能麻烦帮忙解决完善一下。

你好！第一个问题我们已经注意到了，已经跟邮件厂家提出，比较有难度，正在设法解决。

第二个问题我们刚刚测试过，英文页面发送短信验证码没有问题，可以正常登录的。

ChiyunChu (MetaCinnabar) 在 ta 的帖子中提到：

目前来看邮箱两步验证的上线似乎过于匆忙了，@stu.pku.edu.cn托管在网易还好，@pku.edu.cn目前个人体验下来至少存在以下两个问题：

1. 两步验证实质形同虚设，众所周知mail.pku.edu.cn的登录密码一般情况下都是IAAA的密码，直接从its/portal的导航栏上重定向到mail就可以绕开两步验证直接进入邮箱。那这两步验证有什么意义呢，难道只是防止攻击者用邮箱别名+密码盗用邮箱，还是说认为攻击者连最基本的社会工程学都不会，钓到了密码开不出学号或者教工号？能绕过的原因也很简单，重定向到mail不需要登录，那自然就没有发生两步验证，这很符合逻辑，但这真的合理吗？

2. 在英文界面的mail.pku.edu.cn下登录邮箱，短信验证码永远无法发出，必须切换回中文界面。尝试抓了一下发送短信验证码的请求，乍一眼没看出什么明显问题，但实在没心情盯着混淆过的JS硬debug了。贵校把操作系统和浏览器默认语言设置成英文的师生应该不少，虽然这不是什么大问题，但来回切还是有点抓狂的。

……

感谢您的回复。在大约早上七点半的时候我接到了全部的在英文系统下尝试登陆时请求的验证码，刚刚测试又一切正常了。我不知道具体发生了什么，如果您有需要的话我，可以把我这边的短信记录通过邮件邮件发给您，或者或许下次有复现的话我再联系。

PKUCC (北京大学计算中心) 在 ta 的帖子中提到：

你好！第一个问题我们已经注意到了，已经跟邮件厂家提出，比较有难度，正在设法解决。

第二个问题我们刚刚测试过，英文页面发送短信验证码没有问题，可以正常登录的。

今天凌晨有校园网出口设备维护（https://its.pku.edu.cn/announce/tz20250526082218.jsp）,验证码收不到可能与此有关吧。如果仍有此问题，请把账号、时间、浏览器版本、操作系统版本等信息发到its@pku.edu.cn，我们会设法研究解决。

ChiyunChu (MetaCinnabar) 在 ta 的帖子中提到：

感谢您的回复。在大约早上七点半的时候我接到了全部的在英文系统下尝试登陆时请求的验证码，刚刚测试又一切正常了。我不知道具体发生了什么，如果您有需要的话我，可以把我这边的短信记录通过邮件邮件发给您，或者或许下次有复现的话我再联系。