更改电子邮件后，“密码重置”链接是否有效？

Question

下面是一个场景：

您的帐户有多个活动的“密码重置”链接，在世界上。它们在24小时后过期，并且在您更改密码后失效。

而不是改变你的密码，然后你改变你的帐户电子邮件。密码重置链接是否仍然有效？不让它们失效是一种安全风险吗？

Answer 1

我会说，是的，你应该让他们无效。电子邮件更改可能是因为电子邮件帐户被破坏。使它们无效并没有什么害处，因为用户显然已经登录，如果他们需要的话，可以只请求另一个。

尽管如此，在允许更改之前向旧邮件发送验证邮件更为重要，如果用户无法访问，则发送至少7天有效的撤销链接(最好更多)。否则，你就有盗窃账户的风险。

最后，如果你支持2FA，你不应该允许使用电子邮件重置这两个因素。

PS:此外，您也不应该允许更改邮件在一段时间后，密码重置。

Answer 2

如果你不知道密码，你不应该改变你的电子邮件地址。如果你失去了密码和访问记录的电子邮件，你就完蛋了。