Алекс

Если Коротко: Безопасно и это пока стандартный подход. Да перехватить пароль можно, и в зависимости от браузера, пользователь не узнает что его SSL/TLS "читает" что-то по середине.

Если Развернуто , то сейчас уже в моде использовать другой подход - на стороне браузера, при помощи JScript/Subtle crypt генерировать хеш/PBKDF от пароля и передать на сервер. Сервер в свою ичередь тоже должен генерировать с этого значения, вторичный хеш и уже его можно хранить\ искать в БД для аутентификации пользователя. А первичный хеш не в коем не хранить на сервере! но его можно использовать для других целей, например де-шифрования данных для 2ФА метода.
И раз уже твой фронт будет использовать JScript/Subtle crypt, то это открывает допольнительные возможности сквозного шифрование более широкого набора данных пользователя в режиме сквозного шифрования.

посмотри как сделан сервис mega.nz. у них опен сорс.

Можно использовать аппаратный ключ типа FIDO U2F либо ПК с встроенным TPM + в структуру данных лога добавить ц.подпись и что-то типа блокчейна, так чтобы можно было проверить целосность и последовательность всех подписей. Чтобы это взломать нужно будет произвести реверсинг и написать непростой код.
Для создания первого блока в таком логе нужно будет чтобы оператор ПК создал ПИН код либо нажал пальцем на кнопку U2F ключа для генерации первой подписи (которую невозможно подделать чисто програмно).
Либо Можно все вышесказанное упростить - можно писать лог на внешний источник , но для каждого блока записей записывать предыдущий Хеш (котрый храниться на ПК) и также новый Хеш. В результате подменить данные не получитьчся. поскольку на самом ПК всегда будет храниться предыдщий хеш который должен совпадать с тем который на лог сторадже.

Для этого нужно немного поменять протокол обработки данных клиентов.
Чтобы в итоге прийти к сквозному шифрованию на клиентах. Это довольно сложно обьяснить на пальцах в кратце-
вот тут примерно описано как это работает на практике -
https://staffcounter.net/ru/introducing-p2p-encryp...

еще почитайте как это сделано в mega.nz

В Mac OS можно запретить делать скриншоты. Но под Windows это нельзя зделать програмно.
Если это ваш ПК - то надо Установить и Настроить Windows в Virtual Box (это должно быть 100 ГБ места примерно) и рабочие задачи выполнять там, а программа мониторинга будет делать скриншоты толлько системмы в Virtual Box , но не из вашей родной Виндовс.

Уже есть гаджет, на амазоне за 30 баксов.
"Tech8 USA, Undetectable Mouse Mover, Jiggler"

Есть DLP + UBA недорогая от staffcounter (только для Win)
staffcounter.net/ru/features/staffcounter-agents-f.... Как одна из тактик по ИБ, где за небольшие деньги можно понять на практике что с утечками, что с дисциплиной, и насколько готов отдел ИБ к установке UBA и что с этими данными делать. Вполне норм. альтернатива.

Если нужно фильтровать RDP по маске IP адресов — Разрешать обычный доступ для всех пользователей при подключении из локальной сети (LAN) тогда как для подключений из внешней сети (WAN) требовать предъявление 2ФА одноразового пароля либо электронного ключа.
www.rohos.ru/2015/03/terminal-server-login-by-sms-otp (платно)

можно решить от Обратного - включить защиту на создание \ изменение исполняемых файлов на уровне драйвера . У StaffCounter DLP есть такая фича (платно). В таком случае на диске невозможно создавать \ копировать \ сохранять новые EXE DLL SYS OCX и т.д. все c PE header. (и винда перестает обновляться поскольку DLP модуль не разрешает записывать PE header ). В общем Новых бинарников не будет.
+ надо также "вырезать" PowerShell движок руками самому.

Теоретически , дропер может долго жить в памяти и пытаться сохранить на диск Пайлоад в Упакованном виде, и только скрипт какойто его сможет запустить. Ну либо если это новый вид малвари которая работает исключительно в памяти - в таком случае вариантов защиты путем обеспечения Целостности ОС\Файлов пока нет.
Поправте меня если я что-то упустил).

Согласен с John, вместо BoxCrypt использую Rohos Disk. (Win/Android) для 4гб бесплатно. работает с любым облаком.

Если есть "руки" + время + куда поставить Сервак , то В качестве своего Облака используй NextCloud. полный аналог gmail + drive + photos. Есть win / mac / ios/ android app синхронизаторы. и online редактор документы я думаю там скоро появятся. Мне друг показывал как он для всей семьи развернул. и хранил там все фото. Супер!

Если это для себя - то купи себе ноут, и в нем сделай виртуалку где будеш использовать ЛастПасс в изолированной среде.
За ЛастПасом сейчас много малвари охотиться. поэтому если у тебя в нем например, хранятся логины и пароли в Банкинг (финансы), то лучше его прятать в доверенную среду (виртуалку) где будет установлен один браузер для входа на сайты. В этой виртуальке лучше не открывать Ворд, ПДФ файлы.
Ну если хочеться всетаки с USB флешкой с паролем, ну ок. Но ведь содержимое флешки ведь надо бекапить ? как и куда ты будеш это делать ? Если этот вопрос не решить - есть большой риск все потерять.

Вообще сейчас подобного рода Модель Рисков надо проектировать с учем методики "Zero Trust". т.е. надо исходить из предположения что доспустим ЛастПасс тебя подведет - пароли рано или поздно "утекут" (или они исчезнут, не важно как, потеряеш флешку или ключ мастер доступа). Тогда важнее предусмотреть - как быстро я могу заблокировать логины, збросить, восстановить их? Какой вред мне могут нанести если Злохакер получит доступ в мой гмайл \ учетку ? Как я об этом узнаю ? как минимизировать этот ущерб ?

Есть бесплатная capture2text. работает на винде 10 и маке. есть командная строка. распознает русский англ, и друние языки. есть исходики даже. работает без установки. В комплекте также есть менюшка где часы, чтобы можно было область экрана указывать.
capture2text.sourceforge.net/#download

Например:
Capture2Text_CLI.exe --screen-rect "10 10 2200 1500" --clipboard ( или -o result.txt)

скриншотит, распознает текст и копирует в буфер (или в файл).

(Hires экран распознает за 10 сек)

В данном случае утилиты типа TrueCrypt \ VeraCrypt становятся бесполезными. Нужно шифровать по-файлам ДО облака чтобы google sync \ yandex disk загружали в облако уже зашифрованный контент.
Попробуй Рохос Диск - www.rohos.ru/2019/06/googledrive_encryption

https://staffcounter.net/ru/dlp/
умеет ограничивать доступ для заданых ##.exe к путям по маске. например может запретить браузеру или скайпу открывать файлы вне своей папки профиля- т.е. пользователь не сможет приатачить файл, отправить его в облачн. диск или отправить по скайпу.

Вам надо Спросить на rsdn.ru - rsdn.org/forum/winapi
Служба может получать уведомления SERVICE_ACCEPT_SESSIONCHANGE и там можно узнать залогинился при помощи GetSessionUsername()

Это нужно пробовать DLP ПО. Например в staffcounter есть Запрет на отправку файлов через Интернет. Но оно полностью запретит даже атачи вставлять в гмайл через браузер - https://staffcounter.net/ru/dlp/. браузеру ограничивают возможность читать файлы.

https://staffcounter.net/ru/ отправит уведомление если к обеду ПК использовался менее 20 минут. либо если вообще не включали ПК , либо если включили но более 50% времени ушло на ранее неизвестные\совсем не по делу сайты...

https://staffcounter.net/ru/server/ может скриншотить по таймеру, по кликам, можно отключать когда надо удаленно.
хранить данные в локальной сети.

Process monitor - мониторин и под-процесы.

>> ... а всех запускаемых после запуска песочницы.
А ты уверен что твой под-опытный EXE будет только запускать новый процесс а не встроиться в другой процесс ?
И тогда тебе надо всю системму мониторить ...
Тогда sysinternals suite по отдельности все запускаеш в нем что надо и потом из каждого монитора собираеш инфу...