Dudo que sus contraseñas de usuario estén cifradas (al menos espero que no), ya que eso implica que pueden descifrarse (lo cual es una MALA práctica de seguridad). Las contraseñas de los usuarios generalmente tienen hash. de forma unidireccional (por ejemplo, usando password_hash )
Sin embargo, con su contraseña de API, tiene un caso genuino para cifrar de manera bidireccional y no codificarla. En ese caso PHP te da el openssl_encrypt y openssl_decrypt funciones
