Un'applicazione che sto cercando di utilizzare sta usando DPAPI per crittografare un segreto client come parte di un flusso di autenticazione OAuth2. Un account di servizio di dominio verrà utilizzato per la crittografia con la password memorizzata in CyberArk.
Sto cercando di capire come qualcuno può decifrare il segreto del cliente. Sulla base della ricerca che ho fatto, un attore malintenzionato dovrà ottenere la password per l'account di servizio e quindi utilizzare uno strumento di terze parti (come DataProtectionDecryptor di NirSoft) per decrittografare il segreto del client.
La mia comprensione è corretta? DPAPI diventa inutilizzabile una volta conosciuta la password dell'account di servizio in questa istanza?