Hay una serie de cuestiones de seguridad que es importante tener en cuenta, sobre todo si los usuarios pueden acceder a la máquina en la que se ejecuta blusa.
Los ficheros de configuración de blusa deben almacenar contraseñas sin encriptar (p.ej. la clave de root del servidor MySQL), por lo que estos ficheros son protegidos eliminando todos los permisos de acceso para todos los usuarios menos root.
Si un usuario accede al servidor mientras blusa está creando cuentas es posible que capture la contraseña de algún usuario. Internamente, blusa llama a algunos comandos que reciben contraseñas como parámetros sin encriptar. Un usuario malicioso con suerte podría capturar estos comandos (con la contraseña) ejecutando un comando como ps waux. Para protegerse de estas acciones puede decidir denegar el acceso a los usuarios en la máquina o quitar los permisos de ejecución de algunos comandos. En el futuro blusa implementará ambos mecanismos de defensa.