Раз уж личную информацию можно поменять только с подтверждения ввода пароля (что я очень одобряю, если кому важно :)), предлагаю и фотографию пользователя менять по оной.
Ибо случайно забытый открытый профиль, может оскорбить кого-то залётным аватаром.