Aqui está uma ideia maluca , mas que preenche o requisito:
Crie um sistema simples (mas seguro!) que contenha todas as senhas para diferentes serviços. Dê a todos o acesso individual a esse sistema. O sistema fornece a senha para o serviço que o usuário solicita para acessar. Sempre que um usuário solicita uma senha a um site, por exemplo, o eBay, essa solicitação é registrada. O usuário recebe a senha atual do eBay, e uma nova senha gerada aleatoriamente. O usuário deve então mudar imediatamente a senha do eBay para a nova, mesmo que ela decida usar o serviço.
Dessa forma, o usuário A é responsável por qualquer coisa feita no período, começando com a obtenção da senha e terminando com uma nova solicitação de senha. Quando o usuário B solicita uma senha, ela obtém a mesma senha que o usuário A sabe, mas B torna-se responsável e, portanto, deve alterar imediatamente a senha para negar o acesso do usuário A.
O histórico completo de senhas deve ser armazenado para que os administradores tenham acesso ao serviço, caso algum usuário não altere a senha.
Isso não é à prova de balas, é claro. Há um breve período de tempo antes da alteração da senha em que o usuário A poderia acessar o serviço enquanto B é realmente responsável. Além disso, se B pede uma senha, faz algo sujo e depois muda a senha para algo completamente diferente que ela poderia reivindicar de forma plausível A mudou a senha, e a B nunca funcionou em primeiro lugar. Mas eu não acho que esse tipo de atividade fosse uma preocupação no seu caso.