Hallo Steffen,
wenn du auf Passwoerter verzichten willst und eine rechner-basierte Authentifizierung willst, solltest du auf jeden Fall eher sicherstellen, dass sich die Rechner mit festen IPs einloggen (Michael hat ja einiges dazu gesagt). Dann kannst du, wie von Christian beschrieben, mit der limit-Direktive in der htaccess-Datei genau auf die erlaubten IPs begrenzen.
Um noch weiter zu gehen, koenntest du dann auf der Startseite hinterm erfolgreich bestandenen htaccess noch ein Formular schalten, dass eine "Session-Nummer" abfragt. Solche Session-Nummern muessten genauso erzeugt, verwaltet und an die authorisierten User ausgegeben werden wie TANs beim Online-Banking. Jeder authentifizierte User koennte einen nackten Ausdruck mit z.B. 100 12stelligen, per Zufall ermittelten Session-Nummern erhalten. Bei jedem Login muss er eine davon angeben, die damit auch verbraucht (vom verarbeitenden Script geloescht) wird. Sind alle 100 verbraucht, wird das durch die vielen Sicherheitsvorkehrungen getruebte Betriebsklima dadurch aufgelockert, dass der User zu einem Schwatz vorbei kommt, um sich neue Session-Nummern abzuholen ;-)
Fuer die Aufbewahrung der Zettel mit den Session-Nummern sollte die Firma naturlich Panzerschraenke installieren, denen auch hereinfliegende Jets nichts anhaben koennen! Dann ist alles wunderbar, und die Sicherheit hat triumphiert ;-)
viele Gruesse
Stefan