Предложили одно решение, вполне, как вариант:
Для быстрой проверки пароля использовать sha1 hash, но хэшировать не весь пароль а 70%.
Т.е. что-то наподобие if ( sha1_hash( truncate( pass, (int)(len * 0.7) ) ) == hash ) {} в этом случае даже если скачали сервак со всем потрохами, это замедлит расшифровку.
Если же получили доступ до сервакас 70% паролем, то при скачке файла получат фейл.