Mi chiedevo se il DPAPI funzionerà ancora correttamente se un utente non ha una password di accesso (come la maggior parte degli utenti domestici). Non riesco a trovare queste informazioni su Google o nella documentazione ufficiale e non riesco a testarlo perché i computer al lavoro non possono essere privi di password.
Sì, ma non è abbastanza altrettanto sicuro. DPAPI crittografa i dati con una chiave principale, che è indipendente dalla password dell'utente. Quando l'utente ha una password, la chiave master viene crittografata con la password dell'utente. Senza una password, un utente malintenzionato con accesso locale (tramite un altro account utente) potrebbe estrarre la chiave master. Tuttavia, una volta che un utente malintenzionato ha accesso locale al sistema, è comunque il gioco. DPAPI è solo un sistema di limitazione dei danni, davvero.
Leggi altre domande sui tag windows authentication windows-dpapi