Стоит ли юзеру давать право смены почты?

Question

[DrunkMaster]

На сайте есть только классическая регистрация и вход через ВК (телефонов, sms и т.п. нет).
Вопрос: имеет ли смыл дать юзерам право смены электронного адреса, например если они авторизуются через ВК а почту вводят левую просто что бы отстали от них. Не приведёт ли это к дыре в безопасности для добропорядочных пользователей? И как правильно сменить почту если к старой юзер доступа не имеет?

Comments

[Владимир Дубровин]

Вы уточните хотя бы примерно категорию сайта, для чего пользователю нужен эккаунт (может быть он вообще лишний), какие пользовательские данные доступны с эккаунтом, с какой целью кто-то может ломать пользовательские эккаунты?

[Nwton]

Если пользователь авторизуется через ВК, то зачем вообще почта?

[DrunkMaster]

Nwton: если потеряет доступ к аккаунту ВК

[Nwton]

DrunkMaster: если пользователь потеряет доступ к аккаунту ВК, он с той же долей вероятности сможет восстановить ВК аккаунт (к которому итак привязана почта + телефон), с какой будет восстанавливать акк по почте на вашем сайте. Так что не заморачивайтесь.

Answer 1

[Максим Бабичев]

Вопрос: имеет ли смыл дать юзерам право смены электронного адреса, например если они авторизуются через ВК а почту вводят левую просто что бы отстали от них. Не приведёт ли это к дыре в безопасности для добропорядочных пользователей?

Давать право стоит, но через support и ТОЛЬКО ОДИН РАЗ! Так же стоит заранее сообщить об этом пользователю.
Данная задача зависит от вида деятельности компании. У меня например более 7 почтовых адресов личного пользования + корпоративные электронные адреса.

И как правильно сменить почту если к старой юзер доступа не имеет?

Нет, не правильно. Для смены почты нужно разработать дополнительный "уровень" безопасности. Например пользователь должен ввести один из старых паролей (хранить таблицу хэшей), или ответить на несколько вопросов. Или секретная фраза, слово...