Infelizmente, o uso de parâmetros de entrada de procedimento armazenado como senhas em um CREATE USER ou GRANT declaração está documentada neste bug como sem suporte . Então você não pode realmente fazer o que você tentou.

Seria possível PREPARE e EXECUTE uma instrução que é construída por CONCAT() para concatenar na nova senha, mas este não é um método seguro e, portanto, não é recomendado. Você perde todos os benefícios de segurança do procedimento armazenado se fizer dessa maneira.