Los mecanismos de seguridad no deberían hacer los recursos más difíciles de acceder
- Si el sistema es difícil de usar de manera segura, será usado de manera insegura.
- Los mensajes de error de los mecanismos de seguridad deben ser informativos (pero no divulgar información innecesaria)