Você / OP obviamente já sabia o que a maioria aqui diria, vendo como você declarou "long story"
quando você mencionou a senha nula.
No papel existem várias metodologias / práticas de segurança, etc., que são muito válidas.
Na realidade, cabe a você e sua organização decidir quais práticas de segurança você seguirá (ou quais são exigidas por lei se você estiver sujeito a regulamentações, etc.).
Se você e sua empresa acharem que a configuração atual está correta, então é. As pessoas podem dizer "Isso é tão estúpido!" e a opinião deles é tão válida quanto você diz "foi isso que escolhemos fazer". Não é diferente de pintar as listras da sua casa. A maioria vai ridicularizar e sacudir a cabeça, mas no final é o seu chamado.
Como outros já mencionaram, existem maneiras de consultar um computador remoto, dependendo das ferramentas / direitos / habilidades da pessoa que está tentando descobrir isso.