Как обычно организуется безопасное хранение строки подключения к базе для приложения winforms?
юзеры с разных компов запускают свою локальную копию приложения, делают некую работу с базой
конфиг файл с логином-паролем sql-аутентификации должен храниться на каждом их компе, в шифрованном виде

технически понятно: в дот нете есть метод Шифровать-расшифровать, уже из коробки
меня интересует общий алгоритм в своем приложении, как организовать всю вот эту кухню по уму:
1. как первоначально должен задаваться юзер и пароль к базе при первой установке приложения?
2. что если имя юзера и пароль впоследствии изменятся, и придется их менять в строке подключения и заново шифровать? надо придумывать механизм сброса текущего пароля? как тогда сделать, чтоыб его не сбросил злоумышленник? или это по барабану и надо защитить только сам пароль и все?
3. насколько безопасно сделать перенос конфига с логином-паролем на другой комп, чтобы на каждом компе снова не задавать подключение? machine level key тогда отпадает?

может вы знаете какие-то "широко известные в узких кругах" мануалы на эту тему, чтобы не придумывать велосипед?

windows-аутентификацию мне запретили: говорят что хотят контролировать подключение приложения к бд через одну учетку, а не через множество юзеров.
наверно придется делать что-то "на отвались", с якобы подобием защиты.