Eu estava lendo um blog hoje (http://somewebguy.wordpress.com/2009/07/20/is-encrypting-your-web-config-a-waste-of-time/) sobre como criptografar seus appsettings / connectionstrings etc. usando a ferramenta aspnet_regiis.

Ele tem um post de acompanhamento com algum feedback de outros dizendo que isso é uma perda de tempo.

Minha pergunta é, o que você acha? Você é totalmente consultado assim que alguém obtém acesso físico aos seus arquivos web.config? Ou isso é uma precaução que vale a pena?