В случае с терминалом правильнее не разрешать менять пароль ДО подключения (а после - можно и на терминале, просто не Ctrl+Alt+Del, а Ctrl+Alt+End).
Правильнее прикрутить двухфакторную авторизацию и передавать начальный пароль вместе с настройками двухфакторной авторизации так, чтоб исключить доступ к ним неблагонадежных лиц.