Przy zmianie hasła(czy emaila w przyszłości) powinno być pobierane aktualne hasło celem weryfikacji. Inaczej wystarczy, że ktoś komuś wejdzie na zalogowane konto i łatwo można je stracić :)