Mi empresa se toma en serio la seguridad y está dispuesta a cambiar a los pares de claves SSH. Los usuarios pueden generar sus pares de claves SSH de forma independiente y me preocupa si establecen una contraseña. ¿Puedo hacer cumplir esto? ¿La firma con ssh-keygen ayuda?
No. No puede hacer cumplir en el lado del servidor que la clave tiene frase de contraseña. La clave está siempre en el lado del cliente y el servidor solo ve la firma del desafío y la clave pública. Los certificados (también conocidos como claves firmadas) tampoco ayudarán, porque las claves públicas están firmadas.
Le propongo que revise algún tipo de autenticación de dos factores o tarjetas inteligentes si quiere ir por este camino con seguridad.
Lea otras preguntas en las etiquetas authentication public-key-infrastructure ssh openssh