Hay una convención para solicitar siempre la contraseña antigua en la misma página que la que se está cambiando, como se muestra a continuación.
¿Es aceptable desde una perspectiva de seguridad permitir que un usuario inicie sesión y luego cambie la contraseña en una página separada que no requiera la contraseña anterior?
Lo pregunto porque estoy tratando de optimizar una aplicación móvil y estoy considerando que la aplicación web estándar tenga el mismo flujo de trabajo.
Ejemplo de un flujo de trabajo "molesto" para el usuario:
-
El usuario se autentica
-
Se notifica al usuario que PW ha caducado o se debe cambiar (inmediatamente)
-
El usuario se dirige a la pantalla de abajo. La solicitud adicional de "contraseña actual" es molesta y me pregunto qué beneficio proporciona ...