O link do mh está no local - uma vez que algo é armazenado de forma que possa ser recuperado, ele deve ser considerado não melhor do que o texto simples. Como é implementado no AD, habilitar a criptografia reversível significa que qualquer pessoa (ou qualquer coisa) com direitos de administrador do domínio pode descriptografar senhas porque elas têm acesso ao segredo global da LSA, que é a única parte do processo que é secreta em qualquer sentido. tudo o mais envolvido pode ser lido do AD por qualquer pessoa ou está contido em uma DLL que pode ser manipulada \ engenharia reversa.
Do ponto de vista de ataque, se alguém tiver direitos de administrador de domínio, o jogo já está em andamento, mas do ponto de vista da segurança interna, isso também significa que os administradores de domínio podem descriptografar as senhas no texto original que não é bom. Se nada mais eu não gostaria de estar enfrentando uma investigação de segurança, onde a evidência chave era entradas de log de eventos mostrando um usuário entrando e saindo usando uma senha que tecnicamente eu poderia saber se eu quisesse.
Há um conjunto interessante de postagens de blog de Niels Teusink sobre o assunto, começando aqui .
Existem muitas alternativas melhores em termos de autenticação (X.509 Certs, One Time Password Tokens, Smart Cards ...), mas se você pode usá-las ou não, depende do aplicativo e do sistema do cliente que os usuários precisam usar. Se você tem controle total do ambiente, você deve ser capaz de encontrar uma solução que lhe permita evitar usá-los, mas implementá-los corretamente pode ser caro e seus usuários podem considerá-los inconvenientes.
Editado após a sua atualização eu sugiro usar Certificados Integrados do AD, será um pouco trabalhoso, mas o resultado final é sólido e você pode reutilizar a capacidade para muitas outras coisas.