<div><span style="color: rgb(160, 160, 168); ">On Wednesday, February 13, 2013 at 11:25 AM, Antoine Pitrou wrote:</span></div>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><div>Jesse Noller <jnoller <at> <a href="http://gmail.com">gmail.com</a>> writes:</div><blockquote type="cite"><div><div>On Feb 13, 2013, at 7:13 AM, Antoine Pitrou <solipsis <at> <a href="http://pitrou.net">pitrou.net</a>> wrote:</div><div><br></div><blockquote type="cite"><div><div>Richard Jones <richard <at> <a href="http://python.org">python.org</a>> writes:</div><blockquote type="cite"><div><div>3. send email to all registered users indicating that all users must</div><div>change their password and a forced reset will take place in a week's</div><div>time for users who have not done so, and</div></div></blockquote><div><br></div><div>What about users who've already changed their password?</div></div></blockquote><div><br></div><div>Why not force the reset anyway? </div></div></blockquote><div><br></div><div>Because annoying responsible users is unfriendly and incompetent.</div><div><br></div><div>You shouldn't expect the average user to have a specifically indulgent a priori</div><div>towards the PSF; nor should you imagine they like having to change their</div><div>passwords. Managing one's passwords is for most users a major PITA.</div><div><br></div><div>If some outside organization forced a second password reset on me after</div><div>I'd changed my password a first time, I would certainly not get a good opinion</div><div>of them.</div><div><br></div></div></div></span></blockquote><div>There's no way to determine if users have changed their password. The passlib</div><div>branch will be deployed with automatic migration upon logging in turned off. People</div><div>who have either newly registered or who have manually changed their password</div><div>will have a password string that contains some extra metadata to specify that it's</div><div>been hashed by bcrypt. Users who haven't (even if they've logged in) will still have</div><div>a plain sha1 in the database.</div><div><br></div><div>Unfortunately there's no "last changed" a changelog or anything of that nature that</div><div>would enable PyPI to determine if a particular user has ever changed their password.</div><div><br>
                </div>