En general, cuando un usuario se marcha, nunca puede tener plena confianza en que no tiene contraseñas u otra información confidencial guardada. Como resultado, su proceso de contratación externa debe tener controles para todas las contingencias.
Hay varios sistemas (por ejemplo, el propietario de OneLogin) que le permiten integrar un servicio de gestión de identidad corporativa (por ejemplo, Active Directory) con inicio de sesión en sitios de redes sociales / otras aplicaciones web. Sin embargo, esto funciona de manera similar a LastPass en que almacena una contraseña generada aleatoriamente en una bóveda; y esta contraseña puede ser interceptada.
El problema es que siempre es técnicamente posible, si el usuario es un administrador de la computadora y tiene acceso a algunos expertos técnicos, para obtener la contraseña.
Hay formas de mitigar esto: por ejemplo, habilitar las notificaciones de inicio de sesión en Facebook y la autenticación de dos factores. Solo configure un teléfono no rooteado con el token 2FA correcto. Aún así, el usuario puede tomar medidas para migrar el token 2FA a otro dispositivo, por lo que no puede estar 100% seguro de que este sistema funcionará.
Al final, la mejor práctica siempre será restablecer las contraseñas de todas y todas las cuentas a las que el ex empleado tuvo acceso. Si la aplicación está integrada directamente con un servicio de directorio, puede estar seguro de que cuando se deshabilita la cuenta del directorio, se le niega el acceso (por ejemplo, Google+ usando OAuth), pero si hay inicios de sesión separados en sitios externos, siempre habrá que cambiarlos. Incluso si está 99% seguro de que no tienen la contraseña o de que no van a iniciar sesión, la excepción del 1% es sin duda la motivación suficiente para bloquear las cosas.