ユーザーごとの Win32 暗号化キー コンテナーを (.NetRSACryptoServiceProvider
クラス経由で) 使用して、パスワード マネージャーに保存されているパスワードを復号化するために使用される秘密キーを保存しています。
その秘密鍵はどの程度安全に保管されますか? 明らかに、同じユーザー アカウントから実行されているすべてのプログラムがアクセスできます。しかし、鍵は実際にユーザーのパスワードに基づいて暗号化されているのでしょうか?
ユーザーがログオンした場合にのみ、秘密鍵にアクセスできると想定できますか? または、サービス (または別のアカウント) が引き続きキーを抽出できますか? ユーザーのパスワードを知らないコンピュータ管理者はパスワードを抽出できますか? 管理者アカウントを使用してユーザーのパスワードをリセットすることにより、キーを抽出できますか? コンピュータが盗まれ、攻撃者がハードディスクにアクセスできた場合 (ただし、ユーザーのパスワードがわからない場合)、秘密鍵を抽出できますか? ユーザーがセッションをロックした場合、攻撃者は管理者アカウント/カーネル ドライバーを使用してメモリからキーを抽出できますか?
PS「マスターキー」パターンについては知っていますが、私の場合は受け入れられないため、パスワードをできるだけ安全な方法で保存する必要があります。