Creo que hay pro / contras para ambos enfoques. Recuerde que generalmente debe pensar en un enfoque en capas .
En primer lugar, ¿es esto más utilizable? ¿Confunde al usuario? contraseña (teórica en este caso, pero UX es muy importante para que las personas jueguen bien con la seguridad). Hay un beneficio de UX al tener que pasar por menos páginas. Mantener los flujos bien entendidos y el diseño uniforme también es importante para ayudar a los usuarios a identificar el phishing: si las cosas cambian constantemente o son diferentes, el usuario puede estar confundido.
En este caso, me preocuparía más lo que está sucediendo en el resto de mi pila. ¿Qué otra cosa además del nombre de usuario se utiliza para identificar al usuario? ¿Existen cookies del navegador, huellas digitales del navegador, etc.? Si todas estas cosas solo se tienen en cuenta para un usuario autenticado, es posible que desee prohibir una acción de alto riesgo hasta después de la autenticación. Si tiene una seguridad razonable de la identidad del usuario, puede que no sea un gran riesgo en equilibrio con el lado UX.
Mi conjetura sería que, en general, cuando los desarrolladores toman esta decisión no necesariamente tienen en cuenta los objetivos de seguridad o los motivos de seguridad. Puede ser más fácil para el flujo de usuarios o la mesa de ayuda proporcionar estos enlaces en lugar de dar instrucciones que incluyan el inicio de sesión y luego navegar en algún lugar. También puede tener sentido desde el punto de vista de los desarrolladores segmentar cada función de esta manera.
Por lo general, me gustaría ver una autenticación exitosa y luego solicitar una nueva autenticación para cambiar la contraseña. Creo que esto también proporciona más compartimentación (elimina la identidad de la imagen) que probablemente conduciría a menos errores relacionados con la seguridad; también está restringiendo el privilegio solo a usuarios ya autenticados. Estoy de acuerdo con algunas otras respuestas en que existe el riesgo de bloqueo / DoS al poner esta función antes de una autenticación inicial.