Хм, подумав об этом подробнее, я склоняюсь к тому, что лучше выбрать метод с высоким порогом сложности (pseudo high friction), поскольку данная настройка считается «небезопасной» в окне редактирования, и не у всех администраторов есть доступ к консоли Rails (например, на хостинговых сайтах).
Возможно, стоит реализовать следующее: когда администратор пытается сохранить новый адрес электронной почты, должно появляться модальное окно, требующее повторного ввода его собственного пароля для подтверждения действия (или пройти 2FA-проверку, если она включена). Само собой разумеется, что это действие должно подробно регистрироваться в журналах персонала. Я считаю, что всё ещё необходима какая-то обязательная проверка пользователя, чтобы дать легитимному пользователю возможность сообщить о захвате аккаунта. Кроме того, на новый адрес электронной почты следует отправить уведомление, подтверждающее изменение? 