Ваша задача не так тривиальна как может показаться на первый взгляд и решений она имеет несколько. Я не буду привязываться к конкретной модели, а расскажу общую методику применимую к большому спектру оборудования. Ориентироваться только на WiFi доступ - не правильно, как только ключ меняется - мы теряем связь с системой, самое верное решение - иметь удаленный доступ. Для того, чтобы иметь удаленный доступ к системе нужно разобраться с тем, какой IP мы получаем от провайдера. Идеально - белый статический IP. Однако в наши дни это редкость, чаще всего от провайдера роутер получает белый динамический IP или вообще серый. В случае динамического белого IP нам необходимо использовать встроенные в роутер службы ddns. Это позволит иметь домен, по которому будет возможность подключения даже в случае смены IP. Если IP серый, единственный вариант устанавливать с роутера VPN соединение до своего сервера/роутера имеющего белый адрес. Но это сопряжено с целым рядом нюансов, хотя и возможности при таком методе намного шире - например перехват всего трафика проходящего через маршрутизатор. Вторая методика в случае серого IP - использовать локальную сеть провайдера. Очень часто провайдеры не изолируют абонентов друг от друга и не меняют присвоенные серые адреса. В таком случае достаточно записать серый IP получаемый роутером и получить доступ к нему можно будет используя гостевой вайфай в "кафе через дорогу" использующего того же провайдера. Как только мы решили проблему удаленного доступа, следующим этапом получить учетную запись не привязанную к основному пользователю. Сегмент дешевых домашних роутеров чаще всего используют всего одну учетку, однако это далеко не аксиома. Очень часто помимо стандартной Admin - есть учетки формата user/user и т.д. Чаще всего подобной учетки достаточно для считывания настроек (в том числе паролей wifi). Учитывая это подробно знакомимся с мануалом к целевой модели роутера. Если роутер позволяет создавать новые учетные записи, следует создать учетку с именем вроде system или router, которую не опытный пользователь может принять за системную. Следующий пункт - порт для удаленного доступа. Стандартный порт для веб интерфейса 80. Оставлять доступ извне по такому порту нельзя. меняем на 5 значный порт конца диапазона, причем используя службу проброса портов, чтоб для локального использования порт оставался прежним. Если навыки позволяют - оставляем только консольный порт (SSH или telnet). Чем меньше изменений мы вносим в настройки роутера, тем меньше вероятность того, что целевой пользователь сбросит роутер на заводские.

Доступ по WiFi - тоже имеет альтернативное решение. Большая часть SOHO роутеров позволяет использовать несколько SSID на одной радиокарте. Таким образом можно создать гостевую сеть, на которую пользователь при смене основного пароля просто не обратит внимание. Но в любом случае вариант это ненадёжный.

Чем сложнее роутер, тем легче обладая навыками его настройки решить подобную задачу. Роутер Mikrotik, к примеру, позволяет отладить систему так, что пользователь почти полностью лишится своего устройства даже этого не заметив.

Для многих роутеров существует опция отключения аппаратного сброса. Это позволит защитить ваш роутер от действий пользователя. 95 процентов людей не будут трогать роутер если он продолжает работать.