¿Cuál es la mejor política para permitir que los clientes cambien el correo electrónico?

Estamos desarrollando una aplicación web con un proceso de registro bastante estándar que requiere que un cliente / usuario verifique su dirección de correo electrónico antes de poder usar el sitio. El sitio también permite a los usuarios cambiar su dirección de correo electrónico después de la verificación (también con un campo de correo electrónico de reescritura).

¿Cuáles son las ventajas y desventajas de que el usuario vuelva a verificar su correo electrónico? ¿Es esto incluso necesario?

EDITAR:

Resumen de respuestas y comentarios a continuación:

• La "sobreverificación" molesta a las personas, así que no la use a menos que sea crítica
• Considere un campo "volver a escribir el correo electrónico" para evitar errores tipográficos, pero los usuarios aún pueden copiar / pegar, volviéndolo discutible.
• Tenga cuidado de sobrescribir datos buenos conocidos con datos potencialmente buenos
• Enviar correo electrónico a viejo para notificación; a nuevo para verificación
• No asuma que el usuario todavía tiene acceso al correo electrónico anterior.
• Identifique el impacto del correo electrónico incorrecto si la cuenta se ve comprometida

Si va a permitir que sus usuarios cambien una dirección de correo electrónico, debe verificar la nueva dirección de correo electrónico y enviar una notificación a la antigua. La verificación del nuevo correo electrónico es más opcional, pero dado que verificó que la dirección original que no valida el nuevo es una inconsistencia, eso puede convertir información buena conocida en información potencialmente inútil. El correo electrónico enviado a la dirección anterior es por razones de seguridad en caso de que la cuenta se vea comprometida, por lo que el usuario puede ser notificado y tomar medidas para recuperar la cuenta si es necesario.

También puede solicitar al usuario que haga clic en los enlaces de verificación enviados a ambos correos electrónicos en el caso de un cambio de correo electrónico y que bloquee la cuenta hasta que ambos se verifiquen o se contacte a su servicio al cliente. Hacer algo como esto realmente perjudica la facilidad de uso y solo debe usarse si su aplicación es algo que, si se ve comprometida, puede causar pérdidas monetarias significativas o peligro físico.

¿Por qué no proporcionar la verificación del correo electrónico allí en el formulario?

En última instancia, la pregunta que debe responder es "¿por qué estamos verificando una dirección de correo electrónico" antes de que pueda responder si se requiere una nueva verificación?

Si la idea es realmente imponer una mentalidad de aceptación, entonces una nueva verificación puede ser apropiada.

Si la idea es asegurarse de que no escribieron mal algo, puede ser suficiente proporcionar un segundo campo para volver a ingresar la nueva dirección de correo electrónico para su verificación.

Y luego debe considerar cómo verá el usuario una nueva verificación. Sin conocer el dominio de su sitio, me molestaría tener que hacerlo. Pero reconoceré que podría haber un dominio o un caso de uso en el que yo, como usuario, quisiera que vuelva a verificar mi dirección de correo electrónico.

Verificar una dirección de correo electrónico haciendo que un usuario la ingrese dos veces es una idea estúpida (como resultado, también es una idea muy copiada). El usuario puede verificar lo que ingresó la primera vez leyendo. Requerir que se ingrese una contraseña dos veces tiene sentido, ya que el usuario no puede leer lo que escribió (un control de edición de contraseña típico enmascara el texto real).