Per prima cosa, spero che tu abbia le tue credenziali impostate in modo che l'utente DEVE cambiarle durante il primo accesso, quindi quelle che le hanno configurate non possono più conoscerle.
Se un ufficio remoto ha un amministratore fidato, invia a quell'amministratore un set crittografato di chiavi / password monouso da condividere con altri utenti, quindi puoi semplicemente chiedere loro di usare la password n. 12 per il loro accesso iniziale.
A seconda del tuo modello di minaccia (sei preoccupato per gli attori a livello nazionale, cioè stai lavorando con un ufficio estero nel Paese 4, che può impegnarsi in spionaggio commerciale per conto dei tuoi concorrenti locali), questo è in realtà un classico caso in cui chiamare qualcuno su una rete fissa è un'ottima soluzione.
Basta chiamare qualcuno su una rete fissa e dirgli che le credenziali di accesso iniziali al telefono funzionano molto bene.
Oltre a ciò, GPG è sempre un modo classico per farlo, come hanno risposto molte persone. Ho esempi di utilizzo della chiave pubblica e più sicuro dell'uso simmetrico predefinito in questa risposta su Superuser.com .
A seconda dei requisiti normativi, OTR è un metodo di crittografia delle comunicazioni, in particolare di IM (vedi Pidgin come esempio) che consente anche l'autenticazione "shared secret"; è possibile condividere una password facile da digitare sul telefono mentre su IM per convalidare la sessione di messaggistica istantanea non ha un uomo in mezzo, o utilizzare alcuni aspetti del lavoro che stanno facendo che sarebbe difficile per qualcun altro avere di.
Se hai già un modo per inviare email di cui ti fidi solo al tuo destinatario e che la tua rete / gli amministratori di posta elettronica possono accedere, e puoi fidarti di certi altri prodotti / società, allora potresti usare un servizio di "email sicura" come < a href="https://res.cisco.com/websafe/about"> Cisco Envelope Service registrato o un altro.
In particolare per le chiavi SSH o le password estremamente lunghe e difficili, puoi fare una combinazione di queste; puoi crittografare - magari usando la modalità simmetrica GPG (vedi link sopra) - usando una password sicura, e poi consegnare quella password tramite il telefono o altro metodo, in modo che possano decifrare il token di autenticazione effettivo / chiave SSH / certificato / ecc.