A melhor prática seria continuar permitindo somente logins baseados em chave e apenas tolerar o bloqueio quando você está sem a chave.
Tenho certeza de que há alguma maneira de reconfigurar sua configuração do sshd para permitir logins de senha, mas como você vai proteger isso? Sua segurança é tão boa quanto seu elo mais fraco.
Não há realmente uma opção de "melhor prática" entre permitir logins de senha e autenticação de chave privada. Você tem que escolher o que for mais aceitável para você, e apenas pegue os problemas que vêm com o queixo ...