1. Сделайте коннект к промежуточному хосту (как прокси-хост), на нем пропишите соответствие login:pass (внутренний) -> host,login,pass,port (внешний)
2. Пропишите, что к промежуточному хосту доступ только с определенного IP (или сертификат).
3. Не открывайте доступ к этой связке хранения (файловая система, БД и т.д.)
Все это нужно делать обязательно на другом сервере (возможно виртуальная машина)
Если даже пароли украли - вы их смените в одно мгновение. (не меняя удаленные)
Если попытаются подключиться с украденными паролями, то доступ будет только с указанного IP. (ну и сертификат добавьте для более большей надежности)
--------------
Ну а по шифрованию - уже все и так здесь много полезного сказали.
Добавлю лишь: главное - защищайте "соль".