复习一下身份认证的三个要素：
- something you know
- something you have
- something you are

1. 你的终端是 something you have ，那么你主动运行了解密的程序，算是一种授权
2. Windows 系统账户登陆密码是 something you know ，你主动输入了密码 （ Windows 10 登陆状态下通过浏览器查看明文，需要二次输入账户密码。但是用了系统的 DPAPI CryptUnprotectData 函数解密是没问题的，你的终端都 Compromise 了，就好比：你家里已经进了贼，你跟贼说，别看这里。或者说：你家里已经进了贼 = 你已经把钥匙 /密码给了贼，然后你说 “贼，别看我小本本”，可能吗？是 Google 家的工程师是 SB 还是楼主半瓶醋？

你告诉我一下，如果你的终端已经 Compromise 什么有用？ Master Key 加密后（ 1Password ）在本地的缓存密码同样是可以解密的，那按你的逻辑类推，1Password 只是用了不是系统从你的账户密码 Derive 出的 Key 而已，其他的都是使用了同样是公开的算法和 API ，网上有大把的解密程序，是不是 1Password 这样都不安全？

3. 你或许会说 Windows 有问题，为什么调用这种函数不二次验证？那么系统 Keychain ， 也就是 @ysc3839 提到的 Credential Manager 里面的东西也是用这个函数加密的。系统里还有大量的需要加密的数据，这个过程是用户无感知的，如果每次都要这样验证对应的 Windows Desktop Session Token 对应的 Password ，那么我估计你下一个帖子就是微软的工程师是 SB 。

@juejinloop 至于你说 Linux / Mac 的就更是扯淡了，Mac 的系统 Keychain 依然是需要二次验证密码 / touch id / face id 。Linux 默认的 Chrome 密钥存储依赖于 org.freedesktop.secrets 的实现，狭义来说，目前 API 完善，使用广泛的就是 Gnome Keyring 和 KDE Kwallet ，也是类似的算法。也不是明文存储。

不要把其他家的工程师和 Security and Compliance 团队当 SB 。