Me preguntaba si la DPAPI seguirá funcionando correctamente si un usuario no tiene una contraseña de inicio de sesión (como la mayoría de los usuarios domésticos). No puedo encontrar esta información en Google o en la documentación oficial y no puedo probarlo porque las computadoras en el trabajo no pueden estar sin una contraseña.
Sí, pero no es bastante tan seguro. DPAPI cifra los datos con una clave maestra, que es independiente de la contraseña del usuario. Cuando el usuario tiene una contraseña, la clave maestra se cifra con la contraseña del usuario. Sin una contraseña, un atacante con acceso local (a través de otra cuenta de usuario) podría extraer la clave maestra. Sin embargo, una vez que un atacante tiene acceso local al sistema, el juego termina de todos modos. DPAPI es solo un sistema de limitación de daños, en realidad.
Lea otras preguntas en las etiquetas authentication windows windows-dpapi