据报道,谷歌将于今年底开始删除2年未使用个谷歌个人账号。理由是,谷歌发现,如果一个账户在一定时间内未被使用,那么该账户被入侵的概率更大。
这些长时间未使用的账号使用的密码一般都是比较老的或重用的密码,关联密码被泄露的概率也就更大,且大多老账号未使用双因子认证,也未设置安全检查。谷歌分析发现在设置双因子认证方面,这些未使用或被遗弃的账号仅仅占活跃账号的1/10。也就是说,这些账号被入侵,可以被用来进行进行身份窃取并用作其他恶意用途,如发送垃圾邮件。
实际上,谷歌的这个考虑并非无的放矢。长期未使用的账号的安全风险主要来自于监管与维护的漏洞,这需要组织或个人主动发现并关注这部分账号,对其密码、权限、数据、第三方合作等方面进行全面清理与检查,最大限度降低潜在风险,这也是账号安全管理的关键环节之一。
因为长期未使用的账号存在密码弱风险、权限过高风险、敏感信息数据未清理风险、处在监控系统“死角”风险、第三方协同风险(未及时解除与第三方应用的绑定或授权)、重要业务风险(长期未使用的账号可能对应重要的业务系统或流程)、系统漏洞风险(缺少维护与更新的操作系统可能关联着长久未使用的账号)、未清理设备风险(这些设备可能绑定过一些长期未使用的账号),等等。
除此之外,部分三方平台账号(例如:苹果开发者账号、知乎账号、头条账号、百度推广账号等)是员工个人以企业名义申请的,绑定的通常是员工个人的手机号,当员工离职或转岗时,可能忘记交接账号或换绑手机,导致账号失控,甚至可能因恶意盗用引发法律和舆情风险。
以及,部分三方平台账号需要企业内、部门内多人共用,账号权限可能过大、职责不清晰,存在账号被盗用、滥用的安全风险。总之,企业的办公过程中,企业账号存在着以下诸如此类的安全风险:
1. 密码安全风险。简单或重复使用的密码易被猜解或破解,导致账号被盗用;
2. 权限过高风险。某些账号分配的权限过于宽松,如果被入侵利用会造成严重影响;
3. 共享账号风险。多个用户共享一个企业账号,存在被盗用、滥用的风险,而且账号被入侵后会对多人产生影响;
4. 离职账号风险。员工离职后对应账号没有及时禁用,容易被非法使用;
5. 第三方接入风险。企业系统与第三方应用或服务之间的接口如果没有进行安全配置与身份验证,第三方账号被入侵也可能进入企业系统;
6. 数据泄露风险。企业账号对应的数据如果没有进行分类分级保护,一旦被攻破易遭受数据泄露;
7. 终端安全风险。企业账号所在的工作终端如果安全防护不到位,容易成为攻击者入侵企业网络与账号的跳板;
8. 在线登录风险。企业系统开放的各类Web应用管理后台、移动端应用等在线登录口,如果没有采取二次验证等强认证手段,很容易遭密码破解;
9. 监控不足风险。企业账号使用与访问情况没有被及时、全面地监控,安全攻击事件难以被发现。
那么,面对账号长久未使用、员工个人申请的账号、账号共享、账号权限不当......这些问题时,企业要如何安全地管理这些失控的账号呢?
数影帐号管家,可实现全平台帐号管理,任意应用自动登录,为企业账号资产安全提供行业领先的数据安全保障技术。在不暴露帐号密码的前提下,安全、便捷、高效的在团队成员之间共享应用登录和使用权限。
数影帐号管家是独立第三方的账密托管服务,能为企业提供安全的帐号管理与应用访问控制管理平台,保护企业的帐号资产。通过数影一键登录所有三方应用,安全便捷地与员工共享应用使用权限,不用再分享账密。而且,账密经过严格AES256 加密存储,数据无法被泄露和窥探。
数影帐号管家的管理能力
自动发现:在应用使用过程中,自动发现未经托管的帐号,以及未经允许的帐号修改。
帐号托管:针对尚未接入 SSO 的内部系统,或第三方应用(包括客户端应用),托管账密,后台分配使用权限给团队成员。
账密隐藏:通过自动化技术,实现应用自动登录,用户不再掌握应用密码,彻底解决帐号安全问题。
录屏审计:全面还原用户操作,弥补系统本身日志补全缺陷,特权帐号支持实时录屏审计。
同时,针对特定应用帐号或流动性大的特定岗位,带来的帐号难以盘点、帐号容易盗用、帐号未及时回收等安全隐患,管理人员往往重复利用已有帐号,使用数影可以降低频繁创建帐号、分配权限、回收帐号等带来的管理成本。
最后,想说的是,为减少相关风险,谷歌可能会删除该账户(至少2年未登录)和账户相关的内容,包括Gmail、谷歌文档、日历、会议、相册等内容。该策略仅适用于谷歌个人账户,并不影响企业和组织账户,如学校、企业等。
虽然该策略近日开始生效,但谷歌并不会立刻删除未使用的账户,谷歌开始删除账户的最早时间是2023年12月。删除账户也将分阶段实施,首先删除的是创建后从未使用的账户。此外,在删除账户前,谷歌将提取数月向账户邮箱地址和恢复邮箱地址发送多次删除的通知。