È risaputo che l'uso delle chiavi per autenticare gli utenti ssh è più sicuro rispetto all'utilizzo delle password. Tuttavia, anche con login password disabilitato, quando si esegue ssh-copy-id mi viene comunque richiesta la password dell'utente. Mi viene da pensare - cosa impedisce al pirata informatico di forzare questa password invece (e caricare la chiave pubblica autogenerata per ottenere l'accesso permanente)? È un buco di sicurezza, o mi manca qualcosa di importante?
P.S. supponiamo che non ci sia fail2ban o software simile in esecuzione