hint000

с чего именно стоит начать

1. с понимания архитектуры сети;
2. со списка всевозможных угроз безоопасности (хотя такой список и не будет полным).

если кто то может начать давать уроки как репетитор

https://career.habr.com/experts?order=rate_asc&q=б...

Начать следует с теории:

• архитектура ПК;
  
• архитектура ОС Windows;
  
• архитектура ОС Linux;
  
• архитектура сетей.
  

Затем изучить хотя бы пару языков программирования.
Затем можно переходить к более практическим вещам, названным в ответе uRoot

Принципиальной разницы нет. Отдельный брандмауэр может иметь больше возможностей настройки, но не обязательно.
Учтите, что Windows вообще не заточена на продвинутые сетевые функции. Любой брандмауэр на Windows - хоть встроенный в Windows, хоть встроенный в антивирус, хоть "отдельный" - все они могут предоставить базовые функции, их возможности сильно ограничиваются сетевой тупостью Windows. Впрочем, большинству пользователей достаточно. Но если потребуется что-то более серьёзное - за этим обращайтесь в Linux (или *BSD).

Это не так просто, как зарегиистрировать новую учётку на форуме. :) Это не бесплатно.

Вопрос: Как получить 10 почтовых\юридических адресов (не для электронной почты, а для бумажных писем, посылок)?
Ответ: Нужно купить или взять в аренду 10 квартир или офисов.

Вопрос: Как получить 10 IP-адресов?
Ответ: Нужно купить их у одного провайдера (адреса будут похожие, как если вы купите 10 квартир в одном доме) или у 10 разных провайдеров. Во втором случае вам нужно заключить договоры со всеми 10 провайдерами и каждый провайдер проведёт к вам свой кабель. После этого у вас будет квест с настройкой оборудования, и потом уже можно будет задавать вопрос, как "переключать" адреса. Ещё один вариант (более простой) - арендовать (за денежки) 10 VPS у одного или у разных хостеров, на каждой из них поднять VPN, подключаться по очереди к одной из VPN.

Тут сразу три пункта убиваются одним выстрелом: подлинность, целостность и неотказуемость обеспечивается подписью закрытым ключом отправителя. В случае симметричного шифрования имитовставка обеспечивает подлинность и целостность, но не обеспечивает неотказуемость.
После этого секретность обеспечивается симметричным шифрованием либо шифрованием открытым ключом получателя.

А) задача минимум: второму сервису нужно убедиться, что запрос идет из первого сервиса железно.

Шифровать передаваемые данные. Либо использовать шифрованый канал связи.

Б) задача максимум

SSO https://ru.wikipedia.org/wiki/Технология_единого_входа

Начните с мысленного эксперимента. Пусть это будет не VPS, а железный сервер, который физически находится в ваших руках, а некий юзер на нём что-то хостит. У юзера есть все права, а у вас нет.
Внимание, вопрос: назовите простой способ получить несанкционированный доступ к данным юзера.
Внимание, правильный ответ: подключить физический диск к другой системе, в которой у вас есть админские права; при этом вы получите доступ к содержимому диска.
А теперь проведите аналогию между железным сервером и виртуальным сервером. В случае железного у вас был доступ к железу. В случае виртуального у вас не только всё ещё есть доступ к железу, но также есть доступ на уровне файловой системы хоста к файлам образов виртуальных дисков. Что ещё упрощает несанкционированный доступ - даже не надо гасить систему. Образ можно скопировать и копию смонтировать куда угодно, получить доступ внутрь образа, а значит ко всем файлам (если они не зашифрованы).

Физический доступ всегда решает. Придумывают разные способы, которые затрудняют получение несанкционированного доступа через физический доступ. Иногда сильно затрудняют. Но 100%-надежной защиты при физическом доступе нет (мы ведь не говорим про квантовые технологии?).

TLS дело десятое, и, действительно, комбинируя методы социальной инженерии с техническими методами, можно обойти его. Но прежде нужно найти способ перехватить трафик, пусть и зашифрованный. Это сильно зависит от обстоятельств. Где находится компьютер Васи - дома, в офисе, в публичном месте (ноутбук)? Подключен к сети кабелем или через Wi-Fi? Использует старый роутер с уязвимой прошивкой? Вася как лох открывает вложения в почте от непойми кого? И т.д. и т.п. Хакер должен узнать побольше о Васе (где живёт, чем занимается, какие у него привычки,..) и таким образом найти удобную брешь. Хакер может быть заинтересован этим заниматься, если Вася - V.I.P. (ну или хотя бы ЛПР), а не какой-то Неуловимый Джо.
Неуловимых Джо атакуют методами "на кого бог пошлёт".

Ну начните изучение [хирургии] хотя бы с этого:
https://ru.wikipedia.org/wiki/Статический_анализ_кода
https://ru.wikipedia.org/wiki/Динамический_анализ_кода
Отсюда до поиска малвари - ещё как до Луны пешком, но, как гласит китайская мудрость,

даже путь в тысячу ли начинается с первого шага

Создадите IT-компанию с сотней мидлов и десятком сеньоров, и они за несколько лет напишут вам вашу "прогу для анализа исходного кода".

Возможно, массовая уязвимость и массовая атака. Хотя оттенки смысла отличаются.
Вполне вероятно, что он и придумал.

Но для обычного компа нет и не предвидится никакой железки, которую можно было бы вставить в тачку, даже за сто тыщ мильенов.

Внутрь компа - нет, даже за сто тыщ мильенов.
Но есть снаружи компа, называется IP KVM, хоть и не за сто тыщ мильенов, но сопоставимо со стоимостью средненького компьютера. Пробросит по сети (к)лавиатуру, (в)идео и (м)ышь (отсюда и название KVM). Кнопки Power и Reset пробросить не сможет, тут потребуется либо колхоз с паяльником, либо мальчик на побегушках из датацентра (не так уж часто требуется нажать Power или Reset).

Проблема в соли.
Если соль разная для каждого пользователя, то её нужно хранить на сервере, а это противоречит исходным условиям.
Если соль одинаковая для всех, то нет смысла в соли - ломается примерно так же, как и без соли.
Не могу припомнить никакую криптографию, в которой бы соль делали секретом (хотя само по себе это не является проблемой).

стоит ли ради всего этого параноить, я ж не министр какой-то

Паранойя - обязанность системных администраторов и инфобезопасников. Министры не пранойят, им как раз пофиг.
За министров могут подумать многочисленные заместители, советники, секретари, помощники, секретари заместителей и помощники советников... А тот, кто пока еще не министр, должен думать самостоятельно. :)

Вот я сисадмин, у меня паранойя среднего уровня. Я никогда не использовал менеджеры паролей и не собираюсь использовать. И мне пофиг, в облаке база или локальная. Просто нет и всё, потому что паранойя.

Таковы требования государственных стандартов. Скорее всего, американского стандарта. По ссылкам подробнее.
https://ru.wikipedia.org/wiki/Уничтожение_данных
https://habr.com/ru/post/264429/
https://compress.ru/article.aspx?id=16513
https://www.securitylab.ru/blog/personal/Business_...
Согласен с SOTVM, такие суровые меры нужны при уничтожении совершенно секретных данных государственного значения, т.к. в этом случае вероятный противник - иностранные спецслужбы - вполне может себе позволить затраты в миллионы долларов ради всего лишь частичного восстановления информации. Ваши банковские данные стоят гораздо меньше, чем затраты на восстановление (даже не гарантированное восстановление) после простого однократного стирания.