Съмнявам се, че вашите потребителски пароли са криптирани (поне се надявам, че не), тъй като това предполага, че могат да бъдат декриптирани (което е ЛОША практика за сигурност). Потребителските пароли обикновено са хеширани по еднопосочен начин (например с помощта на password_hash )
Въпреки това, с вашата парола за API имате истински калъф за двупосочно криптиране, а не за хеширането му. В този случай PHP ви дава openssl_encrypt и openssl_decrypt функции
