Pochybuji, že vaše uživatelská hesla jsou šifrována (alespoň doufám, že ne), protože to znamená, že je lze dešifrovat (což je ŠPATNÁ bezpečnostní praxe). Uživatelská hesla jsou obecně hašována jednosměrným způsobem (například pomocí password_hash )
S vaším heslem API však máte skutečný případ pro šifrování obousměrným způsobem a nikoli jeho hašování. V takovém případě vám PHP poskytne openssl_encrypt a openssl_decrypt funkce