Forse sono superficiale io, ma ti dico quello che penso... Secondo me dovresti affrontare il problema più a livello sistemistico che non di programmazione web. Io penso che già HTTPS sia abbastanza sicuro (il totalmente sicuro non esiste), ma se credi potresti anche fare un sistema in Tunneling con VPN o simili (non sono un eperto), quindi il server gestisce gli accessi riconoscendo proprio il pc con le varie chiavi pubbliche private etc... Poi fai un sistema di login al programma, magari con captcha ed a quel punto sei abbastanza tranquillo. Dovrebbero riuscire ad entrare sulla VPN (e non è cosa semplicissima) o dovrebbero avere accesso proprio ad un computer predisposto per la VPN... Per esperienza, a parte gli attacchi esterni, le maggiori cag**e le vedi fatte all'interno del sistema. Noi ci si sbatte per rendere password sicure, e poi loro le lasciano in vista sul browser o nei programmi, quindi non ti ammazzare perchè non serve! Cmq per una sicurezza altissima VPN e simili con controllo da firewall per accesso sul server, poi HTTPS e password al software.
Di più non so...
Ciao
Rino