Usamos una bóveda de truecrypt con nuestras contraseñas compartidas / codificadas. Algunos miembros del equipo mantienen una copia encriptada del archivo en su teléfono.
Utilizamos AD para eliminar las contraseñas de los administradores locales a nuestros servidores de Windows.
Usamos Puppet para cambiar las contraseñas de root locales y eliminar las claves ssh de los empleados de nuestros servidores Linux.
Utilizamos las herramientas de Kiwi Cat para administrar nuestro hardware de Cisco y lo usamos para restablecer las contraseñas.
Eso aún deja menos de una docena de dispositivos "únicos" (UPS, PDU remotas, impresoras, etc.) que actualizamos manualmente.
Cambiamos las contraseñas cada 6 meses o inmediatamente cuando perdemos a un miembro del equipo.