密码是否会被PasswordBox.Password属性显示出来？

这只是我的个人意见。

Snoop将其代码注入正在运行的应用程序中。因此，它基本上是一个黑客工具。这是一个非常易于使用的黑客工具，仅与您的GUI一起使用。 这就是为什么仅通过更改任何项目的可见性来隐藏某些数据以使其对用户不可见是一个较差的安全决策。关于限制、访问和安全性的所有内容都不应在UI层处理。有关如何防止Snoop破解您的wpf应用程序？的方法，但那里的主要答案是您必须以不允许snoop违反任何内容的方式设计应用程序。例如，在服务器上验证所有内容。

回到您的问题：

有两种情况。第一种是：用户创建密码。我认为，如果用户或用户的恶意软件此时看到密码，这不是一个问题。然后您接收并存储受保护的字符串。并清除用户的密码。

第二种情况：您向用户显示存储的密码。诀窍是-您不会显示它。您知道密码的长度，因此可以显示只带有****的禁用文本框。如果用户想要更改密码-您会给他实际的密码框，他必须用旧密码和新密码填写，然后我们回到场景＃1。

银色的衬里是：

当用户输入密码时，在内存中以明文形式存在并不是什么大问题，因为用户知道自己键入了什么，恶意软件可以跟踪按键。

在存储密码后，您永远不要将其返回给用户

更新：这是PasswordBox的Password属性的源代码

   public string Password
        {
            [SecurityCritical]
            get
            {
                string password;

                using (SecureString securePassword = this.SecurePassword)
                {
                    IntPtr ptr = System.Runtime.InteropServices.Marshal.SecureStringToBSTR(securePassword);

                    try
                    {
                        unsafe
                        {
                            password = new string((char*)ptr);
                        }
                    }
                    finally
                    {
                        System.Runtime.InteropServices.Marshal.ZeroFreeBSTR(ptr);
                    }
                }

                return password;
            }

因此，我猜测MSDN想表达的意思是，无论何时您通过代码调用Password属性（或在调试时在VS中查看它，或在Snoop中查看它），都会调用其get方法，该方法将SecuredString解密为明文，从而暴露它到内存中。如果您不调用Password属性并且不通过软件工具来检查它，则密码不会以明文形式显示在内存中。