Вопрос: имеет ли смыл дать юзерам право смены электронного адреса, например если они авторизуются через ВК а почту вводят левую просто что бы отстали от них. Не приведёт ли это к дыре в безопасности для добропорядочных пользователей?
Давать право стоит, но через support и ТОЛЬКО ОДИН РАЗ! Так же стоит заранее сообщить об этом пользователю.
Данная задача зависит от вида деятельности компании. У меня например более 7 почтовых адресов личного пользования + корпоративные электронные адреса.
И как правильно сменить почту если к старой юзер доступа не имеет?
Нет, не правильно. Для смены почты нужно разработать дополнительный "уровень" безопасности. Например пользователь должен ввести один из старых паролей (хранить таблицу хэшей), или ответить на несколько вопросов. Или секретная фраза, слово...
