使用激活链接设置密码时如何防止MITM攻击

Question

我正在通过电子邮件ID发送激活链接，这是在创建用户后调用的。这是我正在做的步骤：

1. 创建没有凭据的用户。（OKTA API）
2. 使用设置为false的发送电子邮件激活用户。（OKTA API）
3. 通过我自己的代码，我发送激活链接给用户。
4. 点击激活链接后，它会进入我的自定义页面。
5. 点击提交后输入密码后，触发OKTA API的密码，用户即被激活。

这种方法的问题是无法避免MITM攻击，就好像某人可以访问用户电子邮件一样，他可以设置他的凭据。 避免这种情况的最佳方法是什么？