Kim Cameron, architecte identité chez Microsoft et principal développeur de CardSpace, n'est pas du même avis. Sur son blog, il explique en effet que pour fonctionner, l'attaque doit d'une façon ou d'une autre convaincre l'utilisateur de passer outre certains avertissements de Microsoft comme ceux déconseillant la navigation sur tel ou tel site, et donc de lever lui-même ses barrières de sécurité. « Pour moi, conclut-il, la sécurité de Cardspace n'a pas été compromise. » Néanmoins, le scénario décrit par les étudiants en sécurité est tout à fait faisable, puisque ce type d'ingénierie sociale est déjà utilisé depuis de nombreuses années par les spammeurs et autres adeptes du phishing. En outre, nombre de gens, agacés par les alertes incessantes de Vista, passent outre sans lire le contenu des avertissements.