Klar, wenn erst einmal jemand Zugriff auf den Rechner hat um an die config.db zu kommen, hat man noch ganz andere Probleme.
Interessant und meiner Meinung nach schlecht gelöst ist es, dass für den Zugriff auf die Dropbox eben kein Kennwort benötigt wird.
Wie Thyrfing ja schon schreibt, ist es normalerweise üblich bei solchen Diensten, dass die lokale Anwendung das Kennwort speichern kann und bei jedem Zugriff diese gespeicherte Version benutzt. In dem Fall kann auch jemand durch Steheln einer entsprechenden Datei auf den Dienst zugreifen. Sobald ich aber das Kennwort ändere, geht das nicht mehr.
DropBox scheint hier ein noch einfacheres System zu verwenden. So ähnlich wie auf Websiten die Session-ID, mit der Besucher während eines Besuches identifiziert werden. Klaut man die Session-ID, solange sie gültig ist, kann auch jeder die Identität übernehmen.
Komisch finde ich schon, dass DropBox nicht das übliche System verwendet hat.