A NAPI Gazdaság cikke. Szakmai körökben az Ügyfélkaput egyesek olyan portálnak tekintik, amely az országban található, egymástól függetlenül fejlődő e-közigazgatási rendszerek elérhetőségeit tárolja, mások szerint egy single sign-on (SSO) beléptető rendszer. A szerzők szerint azonban a két funkciónak olyan ötvözete, amelyek közül technikailag egyiket sem oldja meg tökéletesen. A szakmai problémák már a hitelesítésnél kezdődnek. Az informatikai biztonság egyik alaptétele a kétlépcsős hitelesítés. Ez olyan protokollt jelent, amely két egymástól független módon állapítja meg a személyazonosságot és a jogosultságokat. Az Ügyfélkapun korábban kétféle módszert alkalmaztak. Az egyik az egylépcsős jelszó, amelyet okmányirodai azonosítás után lehet megkapni, a másik a kétlépcsős, jelszónak és elektronikus aláírásnak vagy más birtokalapú eszköznek a kombinációja. Bár a második megoldás a biztonságosabb, az Ügyfélkapu üzemeltetői nem hangsúlyozzák a második módszer biztonságosabb voltát sőt, meg is szüntették azt, hiszen az ügyfeleknek úgy tűnt, hogy az elektronikus aláírás csak megkeseríti az életüket. A szerzők tapasztalatai szerint az Ügyfélkapu elektronikus aláíró szoftverének rendelkezésre állása minősíthetetlenül alacsony volt, ráadásul adminisztratív eszközökkel még nehezítették is a felhasználását. Ezek után nem csoda, hogy az Ügyfélkapu felhasználóinak 99 százaléka az egylépcsős hitelesítést használta. Napjainkban már nem is tud mást használni, így bizonyos támadások ellen teljesen védtelen lett a rendszer. Az APEH 2005/4-es tájékoztatója, mely „Veszélyes lehet a túlzott bizalom” címmel jelent meg, időben figyelmeztet arra a veszélyre, hogy ha egy állampolgár Ügyfélkapu-azonosítója kikerül idegen személyhez, azaz megadja a jelszavát a könyvelőjének, az nemcsak az adóbevallását nyújthatja be, hanem az ő nevében más államigazgatási eljárásokat is kezdeményezhet. Ha az Ügyfélkapu felhasználóinak száma elér egy kritikus pontot, nagy valószínűséggel megjósolható egy olyan, ún. adathalász (phising)-támadás bekövetkezése, amikor a magyar felhasználók tömegével kapnak olyan e-maileket, melyek ügyfélkapus fejléccel közlik a címzettekkel, hogy egy rendszerhiba miatt eltűntek a jelszavak az adatbázisból, ezért legyenek szívesek az e-mailben található linkre kattintatni, és az ott található űrlapon beírni a felhasználónevüket és jelszavukat. Az elemzés szerzői szerint az első támadás bekövetkezésének ideje csak attól függ, hogy mikor lehet nagy haszonnal végrehajtani az információszerzést, ezért el kell kezdeni az áttérést a kétlépcsős hitelesítésre. A kétlépcsős hitelesítés az Ügyfélkapun korábban az elektronikus aláíráson alapult. A felhasználó beírta a jelszavát, majd egy felugró ablakban elektronikusan aláírt egy űrlapot, amellyel elismerte, hogy belépett a rendszerbe. Ez elméletileg jó megoldás, hiszen tudás- és birtokalapú a hitelesítés. Két gond van azonban: az egyik, hogy a digitális aláírást ilyen esetben nem így szokták használni, a másik, hogy a szerzők saját, majdnem egyéves tapasztalatai alapján a lehető legritkábban működött az elektronikus aláíró szoftver. Véleményük szerint az Ügyfélkapu korábbi megoldása fából vaskarika. Mivel az elektronikus aláírásról szóló törvény szerint az elektronikus aláírásra szolgáló titkos kulcsot ilyen megoldásra nem lehet használni, a hagyományos challenge-response helyett egy űrlap aláírása lett az autentikáció alapja. Ehhez természetesen külön szoftverre volt szükségük a rendszerfejlesztőknek, ahelyett hogy egy bármely operációs rendszerből elérhető, mindegyik böngészőbe beépített szolgáltatást használtak volna fel. A regisztráció során jelenleg is alkalmazott elektronikus aláíró szoftver így csak Microsoft Internet Explorer alól érhető el, meglehetősen sztochasztikusan, ami feltehetőleg a rendszer üzemeltetőinek a felelőssége. Miután ezt a lehetőséget is megszüntették, kimondható, hogy az Ügyfélkapu egy nem biztonságos hitelesítési megoldást tartalmaz. A rendszer tervezőinek, üzemeltetőinek ezért komoly a felelősségük abban, hogy az esetleges támadásokat kivédjék. Az, hogy jelenleg ilyen a rendszer, elsősorban nem a műszaki tervezők hibája, hanem a magyar adatvédelmi szabályozásnak, valamint a közigazgatáson belüli szétoszló hatásköröknek és felelősségeknek köszönhető. Ahelyett, hogy a jó műszaki gyakorlatokhoz igazították volna a jogszabályokat, a jogszabályokhoz kellett kitalálni egy informatikai „frankensteini szörnyszülött” – állítják a szerzők dolgozatukban.