Rozumím. Obcházet přidělené práva můžou osoby, které znají admin hesla. Proto admin hesla v celé organizaci zná pouze jedna pověřená osoba, případně její zástupce. Nikdo další. Technik nasadí nový RouterOS, admin heslo sdělí oprávněné osobě, oprávněná osoba toto heslo změní, zapíše a zapomene. Plus nasadit remote syslog díky němuž je každý login a jeho původ zaznamenán. Problem solved.
Potom ale musí existovat i proces vydání hesla oprávněnou osobou technikovi (i ve 2 ráno) a následné změny hesla (jinak můžou vznikat soukromé seznamy hesel...).
Na HUA ONT měním ADMIN hesla přes ACS každých 100 hodin. Pokud technik heslo potřebuje, vyčte jej v ACS.
Podobnou věc jsem měl kdysi napsanou jako plugin do Nagiosu na Cisco switche: Heslo pro SSH bylo v DB, plugin pravidelně kontroloval přihlášení na switch a v nějakém intervalu měnil heslo (které si pak uložil do DB). Pokud SSH přihlášení nefungovalo, svítil switch v Nagiosu červeně. Technici si mohli přes webxicht nechat heslo zobrazit, zobrazení se logovalo. Nakonec jsme od toho ale upustili (v té době ještě neměli zdaleka všichni smarphony, neomezená data...) takže byl přístup k heslům hrozně složitý.