Für sowas gibt es T-OTP. Time-based One-Time-Passwords (oder auch: Einmalkennwort https://de.wikipedia.org/wiki/Einmalkennwort )

Sind genau die gleichen Dinger, die auch durch alle gängigen Authenticator-Apps (Google Authenticator, Microsoft Authenticator etc.) unterstützt werden.

Die Funktionsweise ist easy: In der Anwendung ist ein Geheimnis hinterlegt (so wie aktuell das Passwort).
Das gleiche Geheimnis ist auch in der Authenticator-App hinterlegt.

Basierend auf dem Geheimnis und der aktuellen Uhrzeit wird in der Authenticator-App ein 6-Stelliger Code generiert.
Der wird in die Anwendung eingegeben. Dort wird der Code auch mit dem gleichen Algorithmus berechnet, und wenn der übereinstimmt ist der User drin.

Da gibts auch ne Implementierung für Delphi: https://github.com/wendelb/DelphiOTP

Eure Mitarbeiter bekommen also einfach den Code aufs Handy in der Authenticator-App und können sich die Passwörter bei Bedarf generieren. Der Kunde kommt nicht rein solange er nicht das Geheimnis aus der .exe extrahiert.
Bei Bedarf könnt ihr auch pro Kunde ein separates Geheimnis generieren und dann hat der Mitarbeiter eben mehrere Einträge in der Authenticator-App.