Pokud jsi to myslel tak, že uživateli s hesly nasadí aplikaci, kterou nevědomky spustí (trojan) a vyzobe hesla v kontextu daného uživatele, tak potom ano, za předpokladu, že Credential Manager není chráněn master heslem - pak by byl potřeba ještě keylogger.