Как правило пароль должен знать только сотрудник, и никто более. Поэтому нужно обеспечивать возможность пользователю самому создавать себе пароли. И ничего передавать не надо. Если и передается, то только временный пароль, для первого входа в систему, да и то не обязательно.