このように DPAPI を使用してパスワードを暗号化したい
ProtectedData.Protect(plain, optionalEntropy, DataProtectionScope.CurrentUser);
そして、ドメイン管理者が生成されたBLOBを復号化できるかどうか疑問に思います 。
ただし、ドメイン環境では、ドメイン管理者がパスワードを安全に変更でき、暗号化されたファイルに引き続きアクセスできます。
ドメイン管理者は、別のパスワードを使用してデータを再暗号化できるようにするために、最初にデータ (または暗号化されたマスター キー) を復号化する必要があるようです。
簡単な答え : 彼はおそらくそのままでは使えませんが、ドメイン管理者は強力です。彼らが本当にあなたの鍵を欲しがっている場合、彼らがあなたの鍵を手に入れる方法はたくさんあります。
長い答え: DPAPI はデータをキーで暗号化します。IIRC では、90 日ごとに変更されるキーで AES を使用します。キーはコンピュータに保存され、パスワードで暗号化されます。これがデフォルトであり、あなた以外の人の手の届かないところにキーが保存されます。
ドメイン管理者がリモートでキー ロガーをインストールし、パスワードを盗み、なりすまし、キーを盗む (または、プレーン テキストで表示されているデータに直接アクセスしない) 場合を除きます。
あまり知られていないもう 1 つの事実は、 Active Directory で資格情報の移動が有効になっている場合、暗号化されたキーがサーバーに送信されることです。ドメイン管理者は、そのコピーをオフライン攻撃に使用できます。しかし、それは難しいことであり、あなたのデータが非常に価値のあるものでない限り、私はそれについて心配する必要はありません.