<div><span style="color: rgb(160, 160, 168); ">On Tuesday, February 12, 2013 at 6:38 AM, Giovanni Bajo wrote:</span></div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><meta http-equiv="Content-Type" content="text/html charset=us-ascii"><div><div>What about forcing this reset only for users that also have an account on <a href="http://wiki.python.org">wiki.python.org</a>?</div></div></div></div></span></blockquote><div>That could be difficult because that's assuming that if they did have the same account</div><div>that they used the same username or email address (also likely, but not required). Also</div><div>it doesn't do anything if they have multiple PyPI accounts (project? company?) sharing</div><div>that password. If the attacker did get the passwords from Moin he has a pretty decent</div><div>dictionary to start with before he'd need to resort to a "dumb" brute force of PyPI.</div><div><br>
                </div>