Al cambiar una contraseña usando una página web, ¿se debe ingresar la contraseña anterior en la misma pantalla?

El motivo por el que se le ha introducido la contraseña actual cuando elige una nueva es para asegurarse de que la persona que realiza el cambio es el propietario de la cuenta "real".

Si puede cambiar directamente su contraseña una vez que haya iniciado sesión, es posible que ocurran los siguientes ataques:

1. Te alejas de tu computadora por un momento, voy al sitio web
   y cambia tu contraseña
2. Robo sus cookies de inicio de sesión, cargo el sitio web como usted y cambio su contraseña

Editar: si está sugiriendo la siguiente secuencia: inicie sesión con una contraseña antigua, la siguiente página le solicitará una nueva contraseña, entonces probablemente tenga el mismo nivel de protección, asumiendo que la pantalla de "cambio" se apaga después de algún tiempo.

No creo que importe cuántas pantallas toma el proceso. Creo que la clave es que cuanto más corto sea el período entre cuando puede estar seguro de que el propietario "real" interactuó con el sitio, y cuando se emite la solicitud de cambio de contraseña, mayor será la seguridad.

Ya que puede establecer el tiempo transcurrido en cero al colocar los campos de contraseña antiguos y nuevos en la misma página, con un pequeño cambio (IMHO) en UX, probablemente esa es la razón por la que se hace de esa manera.

El objetivo de hacer esto es evitar que un usuario se aleje de la sesión, y que un atacante tome el control de la sesión y cambie la contraseña del usuario.

Entonces, si lo piensas desde una perspectiva de mitigación de ataques, el ataque es alguien que salta a una sesión existente y cambia las credenciales. La mitigación es requerir un punto en el tiempo de autenticación antes de cambiar la credencial.

En el escenario móvil, la teoría es que el usuario siempre tendrá su teléfono consigo, y es probable que la sesión no sea abandonada (el tiempo suficiente) para que un atacante haga algo perjudicial.

Sin embargo, en la práctica, eso realmente no funciona porque un atacante en teoría podría convertir una sesión no móvil a una sesión móvil (por ejemplo, saltar a una sesión de escritorio, robar las cookies, adjuntar las cookies a la sesión móvil) y omitir el punto en el tiempo de verificación de autenticación.

Es un intercambio entre características / experiencia y contramedidas de seguridad. Para que el segundo escenario funcione de manera segura, debe tener confianza (tener mitigaciones para estos ataques) un atacante no puede convertir la sesión o insertarse en una sesión móvil existente.

En mi opinión, no, eso no sería aceptable. La razón es que un cambio de contraseña es un evento transaccional, y debe verificar que el usuario que está cambiando la contraseña está autorizado para realizar esa transacción, y los autentifica confirmando que conocen la contraseña actual.