Una opción (que implementé hace tiempo en una base), es usar un doble login para los usuarios.
Dentro de la base de la empresa, usar una tabla que conserve los usuarios con su nombre extendido, y con el username para mysql.
Por otro lado, cuando ingresan el login, certificar contra esa tabla, sea que usen el extendido o el abreviado, para que el sistema recupere el de mysql, donde se realizará el login final contra el password ingresado.
Para poder implementar esto cree un user cuyo único privilegio era consultar esa tabla, con un password contra MySQL y que estaba a su vez encriptado en la aplicación.
De ese modo obtenia acceso a esa tabla para realizar la validación del username extendido o del username de MySQL.
¿Se entiende?

La cosa resultó bastante funcional. La única parte complicada fue encriptar la clave del usuario de verificación, pero como esa tabla no contenía nada más que los usernames (encriptados a su vez con AES_ENCRYPT()), tenía alguna seguridad funcional.
No voy a decir que era absolutamente inviolable, pero era lo bastante extraño como para resuiltar seguro en alguna medida.