Вот именно, что DPAPI работает только в сессии пользователя, поэтому без локального запуска или полноценного доступа к профилю пароли не вытянуть. Firefox — вообще везёт, если мастер-пароль не стоит, тогда всё просто достать. Вот и получается, что защита на уровне пользователя зачастую проваливается, а SOC должен ловить не сами пароли, а попытки их выуживания — мониторинг файлов и вызовов CryptUnprotectData реально помогает.