Dans un contexte d'applications Web, lorsqu'un utilisateur souhaite modifier son mot de passe actuel, il devra généralement d'abord saisir son mot de passe actuel. Cependant, à ce stade, l'utilisateur a déjà été authentifié en utilisant son mot de passe actuel pour se connecter.
Je comprends quelque peu que le mot de passe existant est nécessaire pour empêcher les utilisateurs malveillants (qui peuvent accéder à la session en cours sur la machine de l'utilisateur) de changer le mot de passe. Cependant, cet argument ne peut-il être utilisé dans aucune situation? Pourquoi ne pas demander le mot de passe chaque fois qu'une demande d'informations sensibles est faite? En quoi le fait de changer un mot de passe est-il différent?