АртемЪ

Возможны атаки следующего вида -
1)Целенаправленная атака на конкретного пользователя.
2)Доступ к оборудованию сети и получение данных всех пользователей этой сети.
Например админ вашей организации может получать все данные что вы передаете по сети.
3)Массовые атаки на неопределенный круг лиц, путем заворачивания их трафика на свои сервера - прокси, VPN, поддельные сайты, левые ссылки в поисковиках.
Например бесплатный прокси для обхода блокировок, или клон популярного сайта, например создать клон этого ресурса по адресу tocter.ru, раскидать ссылки на него в поисковиках и собирать все пароли. Мешает этому только https.

Бывает два основных типа DDoS-
1)Перегрузить запросами ваш сервер
2)Перегрузить запросами ваш канал в интернет.

С первым типом угроз вы можете справиться сами - оптимизировать работу сервера, поставить перед сервером другой сервер, который будет фильтровать запросы, вариантов много.
Со вторым типом угроз вы ничего не сможете сделать - у вас просто ляжет канал, да еще и провайдер ваш может вас попросить свалить, потому что вы ему работать мешаете.

Такие сервисы как CloudFlare решают как раз второй тип угроз в основном.
У них есть сервера подключенные напрямую к крупным точкам обмена трафиком очень толстыми каналами.
Забить их практически невозможно.
Они проксируют ваш трафик отрезая явных ботов.
Делается это так - ваш домен резольвиться не в ваш IP адрес, а в IP адрес CloudFlare, трафик идет туда, а оттуда уже отфильтрованный напрямую на ваш IP.
В итоге злоумышленник не знает ваш реальный адрес, и не может положить ваш канал.

Все пароли хранятся в захешированном виде.

Пароль нельзя хранить в захешированном виде.
Либо вы храните пароль, либо вы не храните пароль.
В вашем случае пароль не хранится, хранится хэш.

Насколько надежен этот хеш?

Смотря что подразумевать по надежностью.

Реально ли получить исходный пароль зная хеш?

Нет, это невозможно в принципе.

Как бы ни хранился пароль, его все равно возможно подобрать

Поэтому его и не хранят, хранят его хэш.

Я хочу сделать так, что после 3-х неверных попыток пароль можно было ввести спусти 5 минут.

Это нормальная практика, только 5минут пожалуй много, начать стоит с 10-15секунд.

Но как это реализовать?

Хранить время попыток входа - удачных и неудачных. При попытке входа считать количество времени прошедшее с последней попытки, и если она неуспешна, блокровать.

Я подумал начать изучать криптографию, чтобы улучшить защиту и хранить не хеш пароля, а хеш шифра пароля.

Когда изучите криптографию, поймете что это чушь.
Постараюсь объяснить -
7f1faa82a84c11d68e301cd04680609d - Это хэш фильма Аватар в FullHD качестве, весом 50Гигабайт.
Вы сможете из этих цифр восстановить 50гигабайт видео?
Еще пример -
Вот допустим пароль 123456789
Вот алгоритм хэширования- считаем количество цифр.
У вас получится восстановить пароль 123456789 зная что его хэш равен 9 ?
Это конечно очень примитивный алгоритм хэширования, и на практике использовать его нельзя из-за большого количества коллизий, но тем не менее это хэширование.

Это разные технологии.
Обе работают вполне надежно и выполняют свои задачи.
Задача VPN организовать частную сеть, задача прокси - перенаправлять трафик.
К смене IP они никакого отношения не имеют, хотя их можно использовать и для этого.

И достаточно ли прокси или VPN + разный юзерагент для анонимности на форуме?

Нет. Сами по себе ни прокси, ни VPN анонимность не обеспечивают.
Если нужна анонимность предпринимают комплекс мер по обеспечению этой самой анонимности, используя разные инструменты для достижения цели, в том числе VPN, прокси, и кучу других программ и технологий.

Да, это возможно.
Хотя и непросто.
Безопасность зависит в основном от вашей внимательности.
Перехватывается HTTPS трафик так же легко как и HTTP, только его еще и расшифровать надо.
Для дешифровки нужны ключи - но в открытом виде идут только публичные ключи, они годятся для шифрования, для дешифровки нужен приватный.
Поэтому перехватить ключ у вас не получится - но вы можете просто подсунуть им свою пару ключей, вклинившись посередине канала.
И спокойно будете читать весь трафик.
Только вот внимательный пользователь увидит подмену сертификата - и прервет связь.
А если пользователь невнимательный - без проблем.

Более общий вопрос - может ли левый хост подменить весь сайт при подключении через HTTPS?

Допустим у вас есть сайт vasyapupkin.com вы получили сертификат от доверенного центра, привязанный к домену vasyapupkin.com.
Я хочу перехватить ваш трафик.
Для этого я регистрирую домен vasyapubkin.com получаю сертификат от доверенного центра на этот домен.
После чего ставлю прокси сервер и заворачиваю перехваченный трафик на него.
Я подсовываю вам ссылку на vasyapubkin.com вы не замечаете что название немного не совпадает, ваш браузер подтверждает что все отлично, все зашифровано.

Хотя затратно это, и не гарантирован результат, но если информация очень ценная сделать можно.

1. Создать пользователя.
   
2. Убрать разрешения на файл для всех кроме нового пользователя.
   
3. Запускать хром от имени этого пользователя.
   

Кто кроме вас может знать что вам нужно???