例えば gmail みたいなログイン必須の RSS を取得する際には BASIC 認証が必要なわけだけど、その際に入力されるパスワードをどうやって保存するかが問題になる。特に .NET 系のアプリだと逆アセが非常に楽に行えるので、単純に暗号化して保存〜というわけにはいかない。逆アセしてしまえば復号方法が丸わかりだし。

ということで、解決策はユーザに暗号鍵＝マスターパスワードを覚えておいてもらうということになる。サイトごとのパスワードはその暗号鍵で暗号化・複合化するという感じに。ちょうど Firefox のような感じか。これならばパスワードを保存しても安全のはず。
けど、これは結局パスワードを入力するって動作を毎回起動時にユーザに要求させるわけだから多少面倒といえば面倒。

一方、OS のファイル管理機構をそのまま使っちゃうという手も考えた。要はパスワード保存ファイルに他ユーザからのアクセスを禁止すれば良いわけで。Windows で出来るかどうかはやったことないからよくわからないけど。
なにか Windows でユーザごとのパスワードリポジトリみたいなものがあれば嬉しいのかなとか思った。問い合わせると鍵を返してくるみたいなセキュアな奴を。

けど、そんなんだったらアプリのメモリ空間を読み取って平文パスワードを引っこ抜いちゃえば良いわけで、ぶっちゃけ突き詰めていったらどこまでいくかわかんないので結局問題点は『どこで妥協するか』というやたらとチープなものになるような予感がしました。