在安全与可用性孰轻孰重问题上，安全的问题常常让步于终端用户对可用性的要求。当云计算服务安装在共享工作台或移动设备的应用程序上，用户常常希望只需一次就能登录到云服务上。然而，如果应用程序能让用户无限期地获得验证，就必须用一种不安全的方法存留用户密码，使得服务的安全性依赖于设备的安全性。

如果在重启或退出登录后，应用程序可以保存和读出密码，那么访问设备的攻击者也能这么做。诸多证据证明不应该将设备的实际占有等同于授权服务。

七、不要存留身份认证令牌

最后一条戒律解决了用户密码保存问题，确保密码不会因为恶意用户访问同一个工作站而被窃取。这条戒律与最后一条类似，但是提醒我们在保护密码的同时通过其它持续方法允许验证，这两种方法都可能“贻误时机”。

Dropbox网站也由于无法坚持这个做法，而遭到媒体负面的报道。Dropbox网站用户发现，仅仅复制受害人电脑的一个文件就可以秘密获得任何人账户中的所有文件。

八、一定支持与最新流程的整合

有一句安全方面的老格言这样说道：“你让某事变得更安全，它就会变得更不安全。”原因何在？因为如果安全碍事的话，善意的用户也会想出变通的方法破坏安全。因此，粘在监视器前面的密码和回收站会造成一发不可收拾的结局。

我们把这些经验教训运用到云计算服务领域，意味着必须用新型工具和工作流集成来支持用户的需求。如果不想让用户从云计算服务中加载敏感文件、把敏感文件发送给同事的话，那么云服务就必须提供分配和协作的便利方法。如果不想让用户共享一套共同的凭证，那么就要让认证和授权过程尽量简化。

对于云计算服务提供商来说，这还只是开始。很多提供商在进入市场时在安全方面偷工减料。今天，如果在评估云计算服务提供商的安全策略时进行尽职调查，就可以达到未雨绸缪的效果。如果你正在搭建云服务，那么坚持上述八条戒律则就会实现良好的开局。