Leute, wir leben im 21. Jahrhundert. Passwörter kann man lokal nutzen, aber für Remote-Zugriff haben wir Public-Key-Verfahren. Du kannst dann beweisen, dass du den geheimen Schlüssel kennst, ohne dass die andere Seite ihn jemals zu Gesicht bekommen hat.
Und da die meisten Situationen mit TOFU¹ als Sicherheitskonzept erschlagen werden können, braucht man für den Schlüssel in der Regel auch kein Zertifikat. Es ist oft sogar eher störend, wenn der Server-Betreiber die wahre Identität der Nutzer kennt, Stichwort Ashley Madison.
Daten als Liability statt als Asset eben.
¹) Trust on first use. Wenn man sich mit Pubkey x anmeldet, und den auch später immer wieder verwendet, ist die Verbindung wohl sicher.