Penso che ci siano pro / contro per entrambi gli approcci. Ricorda che in genere devi pensare a un approccio a livelli .
Prima di tutto, è più utilizzabile, confonde l'utente, ecc. Più campi contemporaneamente possono portare a maggiore confusione d'uso, frustrazione di digitazione, ecc. Forse l'utente si sente frustrato e questo si traduce in un uso meno complesso password (teorico in questo caso, ma UX è molto importante per convincere le persone a giocare bene con la sicurezza). C'è un vantaggio UX nel dover passare attraverso meno pagine. Mantenere i flussi ben compresi e un design uniforme è anche importante per aiutare gli utenti ad identificare il phishing - se le cose cambiano continuamente o sono diverse l'utente può essere confuso.
Sarei più preoccupato di ciò che sta succedendo su e giù nel resto del mio stack in questo caso. Cos'altro, oltre al nome utente, viene utilizzato per identificare l'utente? Ci sono cookie del browser, impronte digitali del browser, ecc. Se tutte queste cose vengono prese in considerazione solo per un utente autenticato, è possibile che si desideri proibire un'azione ad alto rischio fino a dopo l'autenticazione. Se hai una ragionevole certezza dell'identità dell'utente, potrebbe non avere un rischio tanto bilanciato con il lato UX.
La mia ipotesi sarebbe che, in generale, quando gli sviluppatori fanno questa scelta non è necessariamente con gli obiettivi di sicurezza o di sicurezza in mente. Potrebbe essere più facile per il loro flusso di utenti o help desk fornire questi collegamenti piuttosto che dare istruzioni che includono l'accesso e quindi la navigazione da qualche parte. Potrebbe anche avere senso dal punto di vista degli sviluppatori segmentare ogni funzione come questa.
In genere mi piacerebbe vedere un'autenticazione corretta e quindi richiedere la ri-autenticazione per una modifica della password. Penso che questo fornisce anche più compartimentalizzazione (rimuove l'identità dalla foto) che probabilmente porterebbe a bug meno legati alla sicurezza; stai anche limitando il privilegio solo agli utenti già autenticati. Sono d'accordo con alcune altre risposte che c'è un rischio di blocco / DoS con l'inserimento di questa funzione prima di un'autenticazione iniziale.