Why password is asked when it is not permitted?!
Uma das regras de segurança não é informar ao atacante se algo está habilitado / desabilitado. isso é apenas um exemplo. O outro está fazendo login como usuário não existente. Ele também pedirá senha.
O invasor "root is disabled" ou "o usuário não existe" fornece algumas informações, que você não deseja distribuir. Estes são canais laterais que permitiriam eliminar um local da superfície de ataque e focar em outros.
Se você não quiser pedir uma senha, será necessário desativar completamente a autenticação de senha.