Доступы — одна из самых частых слабых точек маленьких проектов.

## Что нельзя делать

— хранить пароли в Telegram-чате;
— отправлять токены подрядчикам без ограничения;
— использовать один пароль на все сервисы;
— держать API-ключи в публичном коде;
— забывать удалять доступы у бывших подрядчиков.

## Что лучше сделать

— использовать менеджер паролей;
— разделять доступы по ролям;
— включать двухфакторную аутентификацию;
— регулярно проверять, кто имеет доступ;
— не отправлять приватные ключи через формы и открытые чаты.

Когда подрядчику дают один общий пароль от всего, владелец проекта теряет контроль.

## В чём риск

— непонятно, кто именно входил в систему;
— нельзя быстро отключить одного человека;
— пароль может остаться у бывшего подрядчика;
— один взломанный доступ открывает сразу много сервисов;
— сложно расследовать проблему.

## Как лучше

Создавать отдельные учётные записи, выдавать минимальные права и удалять доступы после завершения работы.