メールアドレスを本人認証に使った時ドメインを他者に取られるとアカウントを奪われる

問題

組織のドメインが example.com である時、社員がアカウントとして foo@example.com で各所のサービスにログインしている状態で、ドメインを捨てることになったとき、何もせずに単にドメインを捨てると、他者がドメインを取得してメールを送受信できるようになってしまう。ここから、パスワードの再発行なども容易にできてしまうため、各所のサービスにログインできて様々な情報を取られてしまう。

2要素認証は正しく実装されていればよいが、かなり杜撰な「なんちゃって2要素認証」が結構ある。

対策

ドメインを捨てずにそのまま持ち続ける。

理想。管理費が掛かり続ける点で困難。倒産した場合にはどのみち管理できなくなる。

ドメインを捨てる前に各所のサービスから確実に退会しておく。