Nun habe ich mir überlegt für Zugriffe ohne interne IP-Adresse eine Art TAN-System (wie beim Onlinebanking) zu nutzen. Die TANs werden in selber SQL-Datenbank gespeichert und so wird neben Login und Passwort einfach zusätzlich der TAN geprüft, der anschließend verfällt. Ein einmal genutzter TAN wird einfach als genutzt und ungültig erklärt.
Würde das funktionieren? Oder begehe ich einen Denkfehler?

Keine schlechte Idee, aber was machst Du, wenn der Aussendienstmitarbeiter mehrere Anfragen bzw. Datenänderungen anfordert? Mehrere TANs? - Falls nicht, dann wirst Dú an SSL und einem Session-Konzept nicht vorbeikommen.

Ach ja, TANs sind natürlich wesentlich aufwendiger zu handeln als UserName/Password.

Ist ein Übertragen von Access auf MySQL aufwendig?

Ja.

Noch aufwendiger natürlich die Umstellung auf PHP.

Alles in allem würde ich vonj einer kompletten Neuentwicklung der eingesetzten SW schreiben wollen.

Viel Spass!   ;)