(ほとんどのホームユーザーのように)ユーザーがログインパスワードを持っていない場合でも、DPAPIが正しく機能するかどうか疑問に思っていました。この情報をGoogleや公式のドキュメントで見つけることはできません。また、職場のコンピューターにはパスワードが必要なので、テストすることはできません。
はい、しかしそれはかなりほど安全ではありません。 DPAPIは、ユーザーパスワードに依存しないマスターキーでデータを暗号化します。ユーザーがパスワードを持っている場合、マスターキーはユーザーのパスワードで暗号化されます。パスワードがない場合、ローカルアクセス(別のユーザーアカウントを介して)を持つ攻撃者がマスターキーを抽出する可能性があります。ただし、攻撃者がシステムにローカルにアクセスできると、とにかくゲームオーバーになります。 DPAPIは、実際には単なる損傷制限システムです。