​Всё проще. Через оговоренный срок (например год) просто блокировать пароль доступа и всё. Дальше только через "восстановление пароля". А это уже отлаженная и стандартная, понятная всем процедура.
Именно так человек сможет подтвердить что он это именно он, потому что доступ к почте, а также какие то ответы на личные вопросы, есть только у него.
Единственное, нельзя светить почту, на которую идёт восстановление. Потому что почту на том же mail.ru со временем удаляют и тогда злоумышленник сможет её создать заново.