dinegnet

Разве что методология дает хоть какую то минимальную гарантию. Скажем, программы, основанные на контейнерах с нормальным R/Only - не ломаются уже старыми примитивными способами (см. ниже про Joomla)

И использование современного ПО на всех этапах и его обновление.

Кали-Линукс сам защищен, но ничто не мешает подсадить трояна непосредственно в ваш PHP код, ежели вы используете старую версию Joomla, например.
;)

Это НЕПРАВИЛЬНО.
У каждого эникей должен быть свой личный пароль.
Чтобы потом можно было если что настучать по голове.

Все правильно.
Если вход и выход VPN отслеживается одой и той же системой мониторинга - можно сопоставить.
Но вы же не собираетесь банк в своем городе хакать?