Когда вы думаете об этом, это похоже на то, как браузер хранит ваш пароль, не так ли? Вплоть до февраля 2020 Google считал, что просто DPAPI достаточно для этого. Конечно, как упоминается в связанной статье, стало легко выбирать вредоносное ПО для кражи паролей. Технически это не особо важно, для чтения DPAPI требуется запустить для того же пользователя или для повышенных , поэтому у него уже есть доступ к другим интересным данным. Вы можете просто продолжать использовать DPAPI, действительно, Chrome теперь шифрует пароль вместо использования DPAPI, но при этом сохраняет ключ шифрования через DPAPI, с процедурой дешифрования, четко описанной в этом ответе StackOverflow , вредоносное ПО и инструменты паролей были обновлены всего через несколько дней после обновления Chrome.
Поэтому, если вы хотите добавить очень минимальное изменение, обычно достаточно использовать DPAPI, как он есть . Добавление другого шифрования только заставляет злоумышленника декомпилировать ваши приложения, чтобы отменить шифрование, и ваше приложение все равно утечет пароль повсюду. В противном случае, если вы абсолютно не хотите, чтобы пароль был раскрыт, создайте веб-сервис и скажите, чтобы ваше приложение вызывало сервис.