Смотрите в сторону двухфакторной аутентификации, благо есть готовые решения, вот
например для php. В итоге получится: пользователь вводит два пароля(вход в систему и пароль на расшифровку) + доп действие(ввод кода, который они будут получать через приложение на своем телефоне, например Google Authenticator).