Безопасность помимо имени пользователя / пароля?

У меня есть веб-приложение, которое требует большей безопасности, чем обычное веб-приложение. Когда какой-либо пользователь посещает доменное имя, ему предоставляются два текстовых поля, поле имени пользователя и поле пароля. Если они вводят действительного пользователя / пароль, они получают доступ к веб-приложению. Стандартный материал.

Однако я ищу дополнительную безопасность помимо этой стандартной настройки. В идеале это было бы программное решение, но я также открыт для аппаратного решения (оборудование = брелоки), или даже процедурные изменения (например, одноразовые пароли на панели паролей).

Уникальное веб-приложение состоит в том, что мы заранее знаем всех наших пользователей, и мы создаем их имя пользователя и пароль и даем его им. В этом смысле мы можем быть уверены, что имя пользователя и пароль «надежны».

Однако наши клиенты запросили дополнительную безопасность помимо этого. У кого-нибудь есть идеи, как добавить еще один уровень сложности к безопасности?