Entrambe le chiavi e le password hanno i loro pro e contro. La ragione per cui "howtos" e simili consigliano di usare la chiave SSH è che trovano i loro svantaggi meno preoccupanti delle consp di password.
Le chiavi SSH sono lunghe e complesse, molto più di qualsiasi altra password. Ma come dichiari, non hanno scadenza, e si siedono su un disco da dove possono essere rubati. D'altra parte, non vengono trasmessi al sistema remoto (tranne l'inoltro di chiavi, natch) che devono essere le password.
Le password sono generalmente, prevedibilmente, inevitabilmente deboli. Sebbene sia possibile avere password complesse, è stato più volte dimostrato che le persone utilizzano password deboli e hanno pratiche password scadenti ... modelli brevi, semplici, basati su parole e semplici ("p @ ssw0rd!"), Scrivere li abbassa, li usa su più siti, li basa sul loro numero di telefono, la data di nascita dei loro figli, il loro nome. Fai notare che le chiavi non scadono, ma perché scadono le password? Per garantire che un attacco a forza bruta abbia meno probabilità di decifrare una password prima che sia stata sostituita. Non è un problema che influisce sulle chiavi.
E, a parte le cattive password, anche le password "buone" sono vulnerabili alla forza bruta (online o offline) nelle giuste condizioni. Devono essere trasmessi all'altro sistema o in qualsiasi altro posto in cui l'utente possa essere ingannato per inviarli per errore.
Il bilanciamento delle prove suggerisce strongmente che le password sono più deboli e le chiavi sono più forti.