In un contesto di applicazioni Web, quando un utente desidera modificare la propria password corrente, in genere dovrebbe prima immettere la password corrente. Tuttavia, a questo punto, l'utente è già stato autenticato utilizzando la password corrente per accedere.
Capisco in qualche modo che la password esistente sia richiesta per prevenire utenti malintenzionati (che potrebbero accedere alla sessione corrente sulla macchina dell'utente) dalla modifica della password. Tuttavia questo argomento non può essere utilizzato in nessuna situazione? Perché non chiedere la password ogni volta che viene effettuata una richiesta di informazioni sensibili? In che modo è diverso l'atto di cambiare una password?