De acuerdo con este libro , la contraseña del usuario se expande en una clave de cifrado (para DPAPI) usando el PBKDF1 Función de derivación de claves, configurada para usar SHA-1 con 4000 iteraciones por defecto. PBKDF1 se describe en RFC 2898 (sección 5.1). Un atacante con algunas GPU grandes podría calcular, tal vez, cuatro billones de SHA-1 por segundo, por lo tanto, intente aproximadamente un millón de contraseñas potenciales por segundo. Si su contraseña tiene 8 caracteres aleatorios de un alfabeto de tamaño 64 (letras mayúsculas y minúsculas, dígitos y dos símbolos), entonces tiene una entropía de 48 bits (porque 64 8 = 2 48 ), y el atacante tendrá que probar, en promedio, alrededor de 2 47 contraseñas antes de encontrar la correcta. Con un millón de contraseñas por segundo, esto le llevará aproximadamente cuatro años.
Tenga en cuenta que Windows tiene la costumbre de ignorar las mayúsculas y minúsculas en muchos lugares: debe verificar si las mayúsculas y minúsculas son realmente distintas en lo que respecta a la verificación de la contraseña.
(El libro dice "por defecto", lo que puede implicar que el parámetro "4000" es configurable, pero no sé cómo).