Кмк, сложные пароли совершенно не совместимы с желанием вводить их при каждом входе и в 100% такой, да и любой, пароль будет просто сохранён соответствующей галочкой в менеджере подключений на клиентской стороне, перестав отличаться от какого-либо токена.
Ну вообщем с этим понятно, попробую пока так, а далее может быть что-нибудь более специализированное поставлю на виртуалочку в дмз. Сейчас действительно важнее разграничить права одних и тех же юзеров, с доступом изнутри и снаружи, дабы условный любимый сынуля сотрудника не похерил что-то, заставив меня лезть в бекап)) Надо прикинуть как ловчее это провернуть.