En ese caso me parece un tanto mas complejo el caso, quizás podrías hacer un sistema de login de 2 o 3 pasos como lo hace digitalocean o mercado pago.

Cada que inicias sesión se te enviá un código de autorización por correo, por SMS o llamada telefónica.

----------
Ahora bien este problema se origino por un fallo/intrusión en tu server/programación, o fue porque alguien obtuvo los accesos de ese usuario?
Porque si son causas imputables al usuario tu puedes poner algo en tus términos y condiciones que te amparen de dicha situación.