Алекс

Если Коротко: Безопасно и это пока стандартный подход. Да перехватить пароль можно, и в зависимости от браузера, пользователь не узнает что его SSL/TLS "читает" что-то по середине.

Если Развернуто , то сейчас уже в моде использовать другой подход - на стороне браузера, при помощи JScript/Subtle crypt генерировать хеш/PBKDF от пароля и передать на сервер. Сервер в свою ичередь тоже должен генерировать с этого значения, вторичный хеш и уже его можно хранить\ искать в БД для аутентификации пользователя. А первичный хеш не в коем не хранить на сервере! но его можно использовать для других целей, например де-шифрования данных для 2ФА метода.
И раз уже твой фронт будет использовать JScript/Subtle crypt, то это открывает допольнительные возможности сквозного шифрование более широкого набора данных пользователя в режиме сквозного шифрования.

посмотри как сделан сервис mega.nz. у них опен сорс.

Есть DLP + UBA недорогая от staffcounter (только для Win)
staffcounter.net/ru/features/staffcounter-agents-f.... Как одна из тактик по ИБ, где за небольшие деньги можно понять на практике что с утечками, что с дисциплиной, и насколько готов отдел ИБ к установке UBA и что с этими данными делать. Вполне норм. альтернатива.

Если нужно фильтровать RDP по маске IP адресов — Разрешать обычный доступ для всех пользователей при подключении из локальной сети (LAN) тогда как для подключений из внешней сети (WAN) требовать предъявление 2ФА одноразового пароля либо электронного ключа.
www.rohos.ru/2015/03/terminal-server-login-by-sms-otp (платно)

можно решить от Обратного - включить защиту на создание \ изменение исполняемых файлов на уровне драйвера . У StaffCounter DLP есть такая фича (платно). В таком случае на диске невозможно создавать \ копировать \ сохранять новые EXE DLL SYS OCX и т.д. все c PE header. (и винда перестает обновляться поскольку DLP модуль не разрешает записывать PE header ). В общем Новых бинарников не будет.
+ надо также "вырезать" PowerShell движок руками самому.

Теоретически , дропер может долго жить в памяти и пытаться сохранить на диск Пайлоад в Упакованном виде, и только скрипт какойто его сможет запустить. Ну либо если это новый вид малвари которая работает исключительно в памяти - в таком случае вариантов защиты путем обеспечения Целостности ОС\Файлов пока нет.
Поправте меня если я что-то упустил).

Согласен с John, вместо BoxCrypt использую Rohos Disk. (Win/Android) для 4гб бесплатно. работает с любым облаком.

Если есть "руки" + время + куда поставить Сервак , то В качестве своего Облака используй NextCloud. полный аналог gmail + drive + photos. Есть win / mac / ios/ android app синхронизаторы. и online редактор документы я думаю там скоро появятся. Мне друг показывал как он для всей семьи развернул. и хранил там все фото. Супер!

Если это для себя - то купи себе ноут, и в нем сделай виртуалку где будеш использовать ЛастПасс в изолированной среде.
За ЛастПасом сейчас много малвари охотиться. поэтому если у тебя в нем например, хранятся логины и пароли в Банкинг (финансы), то лучше его прятать в доверенную среду (виртуалку) где будет установлен один браузер для входа на сайты. В этой виртуальке лучше не открывать Ворд, ПДФ файлы.
Ну если хочеться всетаки с USB флешкой с паролем, ну ок. Но ведь содержимое флешки ведь надо бекапить ? как и куда ты будеш это делать ? Если этот вопрос не решить - есть большой риск все потерять.

Вообще сейчас подобного рода Модель Рисков надо проектировать с учем методики "Zero Trust". т.е. надо исходить из предположения что доспустим ЛастПасс тебя подведет - пароли рано или поздно "утекут" (или они исчезнут, не важно как, потеряеш флешку или ключ мастер доступа). Тогда важнее предусмотреть - как быстро я могу заблокировать логины, збросить, восстановить их? Какой вред мне могут нанести если Злохакер получит доступ в мой гмайл \ учетку ? Как я об этом узнаю ? как минимизировать этот ущерб ?

В данном случае утилиты типа TrueCrypt \ VeraCrypt становятся бесполезными. Нужно шифровать по-файлам ДО облака чтобы google sync \ yandex disk загружали в облако уже зашифрованный контент.
Попробуй Рохос Диск - www.rohos.ru/2019/06/googledrive_encryption

https://staffcounter.net/ru/dlp/
умеет ограничивать доступ для заданых ##.exe к путям по маске. например может запретить браузеру или скайпу открывать файлы вне своей папки профиля- т.е. пользователь не сможет приатачить файл, отправить его в облачн. диск или отправить по скайпу.

Вам надо Спросить на rsdn.ru - rsdn.org/forum/winapi
Служба может получать уведомления SERVICE_ACCEPT_SESSIONCHANGE и там можно узнать залогинился при помощи GetSessionUsername()

Это нужно пробовать DLP ПО. Например в staffcounter есть Запрет на отправку файлов через Интернет. Но оно полностью запретит даже атачи вставлять в гмайл через браузер - https://staffcounter.net/ru/dlp/. браузеру ограничивают возможность читать файлы.

Family Link в некоторых странах (России?) не доступен, и еще стоит упомянуть что начиная с Андроид9 Family Link нельзя удалить путем сброса телефона, что очень удобно в случае если вы даете телефон сотруднику. Это круть. И Ограничение до 5ти устроиств не является препядствием поскольку Family Link можно частисно управлять с Браузера , где легко переключаться между аккаунтами.

Копай в сторону Backscatter analysis и Fast-Flux DNS botnet

Пен Тест это "проникновение" за периметр доверия или безопансоти и.т.д. Наврное подразумевается что в данный момент ты (user) не можеш получить доступ к некоторым его ресурсам - Файлам ? Функциям ? Потокам данным по сети ? отсуюда и надо начинать.

Лучше определиться что тебе нравиться:
- Создавать, Ломать или Защищаться ?

В зависимости от выбора ты выбираеш между - Инженером, Аудитором (пен-тестер) или Сис Админом.

Инженер - Архитектор ИБ решений:
Иди учись в ВУЗ. далее на работу программистом.

Аудитор (пен-тестер):
Изучить материалы по:
1. Управление информационной безопасностью и рисками
2. Безопасность информационных активов
3. Проектирование и разработка систем ИБ
4. Коммуникации и сетевая безопасность
5. Управление доступом и идентификацией
6. Оценка средств защиты и методы их тестирования
7. Операции по обеспечению безопасности
Устраивайся на работу Админом, через 2 Года здавай сертификацию CISA

Сис Админ:
Устраивайся на работу Админом.

> Правильно ли я понимаю, что в случае взлома БД, злоумышленник возьмет этот
> ключ и без труда расшифрует данные?
Да .

Это вполне оправданно - но надо изменить протокол шифрования , например ввести еще и СОЛЬ для ключа (Ключ = КлючБД + СОЛЬ).
В таком случае у тебя КлючБД будет храниться в базе, но чтобы его использовать Нужна будет еще и Соль которая храниться в Конфиге. Ключи могут быть даже разные (на каждую таблицу) но СОЛЬ одна.
При потере базы - никто не сможет восстановить Ключ. При потере Конфига - там только СОЛЬ.

Это на порядок увеличивает Уровень Сложности Атаки.
Конечно защититься от Админов-Инсайдеров все равно не получиться. Но по крайней мере, Ты как Архитектор не проявиш Халатность :)

> В чём суть RSA-шифрования?
1. Шифрование маленьких данных строго определенной длинны.
2. Подпись
3. Обмен ключами.

Обычно его применяют так - Шифруют AES ключи чтобы надежно их передать Другой стороне и затем использовать AES - который быстрее намного.
Возможно ты пытаешся зашифровать блок данных длинной которая не соместима с RSA. и поэтому он выдает ошибку.
в начале надо запросить у $rsa какой длины должны быть данные для шифрования.

Самая обычная работа, не труднее и не проще. Если тебе это дело нравиться то все ОК будет!
Если копнуть в самую суть - то работа состоит из:
- обеспечение Целостности, Доступности и Конфиденциальности
- или проектирование средств Целостности, Доступности и Конфиденциальности.
- или аудит средств обеспечения Целостности, Доступности и Конфиденциальности
:) понятно ?

Какие нужны знания :
1. Управление информационной безопасностью и рисками - Руководители
2. Безопасность информационных активов - это про жизненный цикл данных, информации и типы контроля доступа.
3. Проектирование и разработка систем ИБ - Инженеры
4. Коммуникации и сетевая безопасность - Сис Админы
5. Управление доступом и идентификацией - Сис Админы
6. Оценка средств защиты и методы их тестирования - Аудит, Сис Админы
7. Операции по обеспечению безопасности - Сис Админы
8. Разработка надежного/защищенного ПО с точки зрения ИБ - Инженеры

О том Где этому учиться -
www.rohos.ru/2018/10/risk-management-in-cissp-cert...

Да это правильный подход. Но если ты часто устанавливаеш программы из Нета \ Торренты (типа Youtube downloader) , загружаеш ПДФ, кликаеш на все подряд ссылки в почте - тогда лучше установить Virtual Box, там поднять Windows - создать Админа, отключить UAC и спокойно работать. На основной Windows ставить только программы из Надежных источников на 100% типа MS Office, Adobe Photoshop и т.д. Yandex Disk.