在这个互联网时代，大部分企业中的IT专业人员可能需要花费很大的精力来确保内部帐户、登录、密码和系统是安全的和受保护的。

但是，如果一个员工在不知情的情况下创建了一个外部账户，会发生什么情况呢？这就是所谓的影子 IT，为什么它会带来安全风险？

假设某位员工希望在内部使用某种外部服务。比如在服务器租用，云计算相关产品上，又或许是外部程序来检查内部文档中是否有错误，再或者是要使用邮箱来建立电子邮件活动，员工可能使用弱密码或不安全的密码创建自己的外部服务帐户。

此时，员工开始与外部服务共享内部文档和信息。如果这些服务之一遭受数据泄露或密码泄漏，则通过暴露其他机密数据，会使员工以及您的企业面临风险。所有这一切都是在没有IT和安全人员的知识或管理的情况下发生的。

在一项针对2100多名成年人的调查中，发现63%的受访者在过去12个月内至少创建了一个不知情的账户。此外，52%的人注册了2到5个账户，16%的人注册了5个以上的账户。

调查结果显示，影子IT账户还带来了其他问题。约37%的受访者表示，他们与同事共用一个外部账户。但这种共享登录信息的方法可能存在风险。近40%的人说他们通过电子邮件与同事分享了这个账户，17%的人说他们通过即时通讯分享了这个账户。

但是，如果信息没有被共享，拥有影子IT账户的员工离开了公司，那么其他人可能会发现自己被锁定在该账户之外。此外，该员工可能仍然可以访问该账户，而且这些信息甚至可能落入竞争对手之手。

创建影子IT账户的员工不一定要为每个网站设计安全且不同的密码。约33%的受访者说他们会重复使用容易记住的密码，而48%的人说他们会使用各种类似的密码。不到3%的人说他们为每个网站使用唯一的密码。

完全禁止影子是解决这个问题的一个办法。但这一措施会降低员工的生产率和创新能力，因为它要求每个人在创建外部账户之前都要得到it部门的批准。

另一个解决方案是使用密码管理器。许多密码管理器现在提供业务级计划，通过这些计划可以集中管理密码策略。还有许多密码管理器需要考虑。虽然密码管理器并不完美，但在更有效的生物认证方法普及之前，它们是一个可行的解决方案。