Una aplicación que estoy buscando usar es el uso de DPAPI para cifrar un Secreto del Cliente como parte de un flujo de autenticación OAuth2. Se utilizará una cuenta de servicio de dominio para el cifrado con la contraseña almacenada en CyberArk.
Estoy tratando de entender cómo alguien puede descifrar el secreto del cliente. Basándome en la investigación, he hecho que un actor malintencionado necesitará obtener la contraseña de la cuenta de servicio y luego usar una herramienta de terceros (como DataProtectionDecryptor by NirSoft) para descifrar el secreto del cliente.
¿Mi entendimiento es correcto? ¿Se vuelve inútil DPAPI una vez que se conoce la contraseña de la cuenta de servicio en este caso?