Ok, riflettendoci meglio, credo che una modalità UI ad alta frizione tramite sudo possa essere la strada da percorrere, dato che questa impostazione è “insicura” per la finestra di modifica e non tutti gli amministratori hanno accesso alla console Rails (pensiamo ad esempio ai siti ospitati).
Forse qualcosa del genere: quando un amministratore tenta di salvare il nuovo indirizzo email, dovrebbe apparire una finestra di dialogo modale che lo costringe a reinserire la propria password per confermare l’azione (o una sfida 2FA, se abilitata). Si dà per scontato che questa azione debba essere registrata nei log del personale in modo dettagliato. Credo che sia comunque necessaria una verifica obbligatoria dell’utente, in qualche modo, per dare a un utente legittimo la possibilità di segnalare un takeover dell’account. Dovrebbe inoltre essere inviata una notifica al nuovo indirizzo email per confermare la modifica? 