目前 OSC 的登录可谓是武装到牙齿，首先是 HTTPS 登录，其次登录时在浏览器端对密码进行 SHA1 加密后再传递到 OSC 的服务器。也就是说连我们也无法得知你的密码是什么！

很安全是吗？但是这样做有缺点！

这两天有不少 OSC 的账号被撞库，这些账号被用来发布各种小姐、毒品、诈骗等信息。

我昨晚半夜被同事电话 call 醒的时候再想一个解决办法：

用户登录的时候，我直接在服务器端判断其密码是否过于简单（例如纯数字或者纯字母），如果过于简单则强制要求通过 Email 重置密码。

但是在着手开始写代码的时候我发现，尼玛，我怎么知道用户的密码啊，过来是 SHA1 过的哈希值！

擦擦擦！只好作罢！！！