Es complicado lo que dices, lo que puedes hacer es cambiar el provider, y usar un config del tipo array y así los datos estarían en un archivo PHP pero pues da lo mismo ya que podrían ver el archivo.

Lo que se me ocurre es que tengas un WebService externo que lo que haga es mediante un token enviar una cadena y recibir el user y pass, aunque da lo mismo, mientras tengan acceso al código fuente van a poder hacer reverse engineering para poder extraer los datos.

Lo mejor que puedes hacer en estos casos es encriptar todo tu sistema usando el Zend Guard y así no van a poder ver nada del sistema.

Saludos.