envias el formulario de login1 a ingresakey.. en este haces la comprobación de que SI exista un usuario con la contraseña ingresada, si no existe pues redirige de nuevo a login1 mostrando un error....

Si existe, pues muestra otro campo donde deberá ingresar el PIN o key extra, de ultimo compruebas esto en login2.php o directamente en index, haciendo las verificaciones correspondientes siempre en cada documento.