Tecnicamente falando, não importa em qual caixa você gera as chaves.
É possível associar várias chaves a uma conta de usuário.
E ainda é possível fazer o login com a senha, apesar de ter a autenticação do pubkey disponível.
Agora, o que você deve fazer? Configure seu servidor para permitir somente a autenticação pubkey, bloqueie seu servidor para permitir somente SFTP - sem shell, sem encaminhamento de porta / x11, sem autenticação de senha. Em seguida, peça aos seus usuários que transmitam suas chaves públicas para você e configurem o login do pubkey. Não gere chaves para seus usuários, isso compromete a segurança deles.