Ecco lo scenario:
Il tuo account ha più link "password reset" attivi nel mondo. Scadono dopo 24 ore e dopo aver cambiato la password.
Invece di cambiare la password, puoi modificare l'indirizzo email del tuo account. I link per la reimpostazione della password dovrebbero essere ancora validi? È un rischio per la sicurezza non invalidarli?
Direi che sì, dovresti invalidarli. Il cambio di email potrebbe essere dovuto al fatto che l'account email è stato compromesso. E non c'è nulla di male nell'invalidarli, dato che l'utente è chiaramente loggato e può richiederne un altro se ne ha bisogno.
Detto questo, è molto più importante inviare un'e-mail di verifica alla vecchia posta prima di consentire una modifica e se l'utente ha perso l'accesso, invia invece un link di annullamento valido per almeno 7 giorni (idealmente di più). Altrimenti, rischi il furto dell'account.
Infine, se supporti 2FA, non dovresti consentire di reimpostare entrambi i fattori usando solo la posta elettronica.
PS: Inoltre non dovresti permettere di cambiare la posta per un periodo di tempo dopo il reset della password.
Non dovresti essere in grado di cambiare il tuo indirizzo email se non conosci il parola d'ordine. Se perdi sia la password che l'accesso all'e-mail del record, sei fregato.
Leggi altre domande sui tag passwords password-reset