A verificação da chave SSH é feita por sshd em si antes de chamar o PAM. E, embora o próprio protocolo SSHv2 permita vários métodos de autenticação, a maioria dos daemons SSH não suportam mais de um.
No entanto, se você tiver OpenSSH 6.2 ou mais recente, poderá usar a nova opção AuthenticationMethods para exigir publickey e um de password | keyboard-interactive para ter sucesso:
AuthenticationMethods publickey,password publickey,keyboard-interactive