На данный момент, использование DPAPI, вероятно (и, к сожалению), лучший вариант. Смягчающим фактором является то, что взлом является высокотехнологичным, сложным в исполнении и требует довольно много доступа к ОС для запуска. Нарушение ключа DPAPI, скорее всего, будет устранено доверенным инсайдером, имеющим доступ к системе, в отличие от внешнего злоумышленника.

ю, что зашифрованные пароли могут храниться в web.config или хешированные, а соленые пароли могут храниться в базе данных, но возможно ли хранить пароли в чем-то вроде хранилища ключей?

Будет ли хранилище ключей хорошей идеей для хранения паролей «служебной учетной записи», которые необходимы приложению?

Ответы на вопрос(1)

Ваш ответ на вопрос