Não realmente, pelo som disso.
Eu acho que você poderia embrulhar o sshpass em um script, para evitar ter a senha em seu env, mas você o escreveu em um script. Basicamente, se uma senha deve estar envolvida, você provavelmente só tem que lidar com isso.
Uma possibilidade pode estar usando certificados SSH em vez de pubkeys, o que permite mais granularidade e controle (veja link ).
O Kerberos também parece que marcaria as caixas de todos, mas o Kerberos não é necessariamente algo que as pessoas querem adotar, e eu teria dúvidas sobre isso seriamente considerado. Mas forneceria exatamente o tipo de compromisso que você procura (sem pubkeys, mas também a capacidade de fazer logins sem senha durante uma sessão).
Uma solução intermediária que pode explicar suas necessidades e as preocupações / políticas do operador do servidor pode ser algo como Teleport , que fornece um jumphost e controles de acesso razoavelmente strongs.
tl; dr : Parece que você pode precisar dar um golpe se quiser evitar expor sua senha, e sua melhor opção pode ser tentar propor uma solução que seja responsável por quaisquer preocupações os administradores têm sobre o pubkey.