Non è ssh-copy-id che espone a un attacco di forza bruta?

ssh-copy-id è uno script che si collega semplicemente a una macchina di destinazione e alle copie la tua chiave pubblica lì, in modo che ulteriori tentativi di accesso su quella macchina possano essere eseguiti con la tua chiave privata SSH. Questo presuppone che può accedere a quella macchina in questo momento, mentre la tua chiave pubblica non è lì. Se viene richiesta una password, significa che l'accesso basato su password è ancora abilitato su quel server (o almeno che il client sta tentando di autenticarsi con una password, che potrebbe funzionare o meno a seconda della configurazione del server).

Ti viene chiesto di digitare una password ogni volta che la usi perché è il comportamento predefinito di quello strumento, dato che puoi leggere attraverso la sua documentazione:

presumably using a login password, so password authentication should be enabled, unless you've done some clever use of multiple identities

Per quanto riguarda la prevenzione degli attacchi bruteforce, potrebbe essere possibile fare riferimento alle buone pratiche elencate tramite questa risposta nel caso in cui non è possibile utilizzare fail2ban.