тогда нет смысла, если этот второй пароль статичный. Тогда нет никакой разницы, что если бы он был один, но длинее :)
Нужен динамический пинкод, который высылается на почту.
Тогда о попытках входа в админку админ будет знать, да и сбрутить пароль не получится.