O fato de você estar usando a autenticação pubkey para efetuar login via SSH não tem nada a ver com sua senha. Você está apenas configurando o serviço ssh para aceitar apenas o método auth.
Você pode definir seus dias de expiração de senha como 0 com chage -d 0 [LOGIN]
e, na próxima vez que fizerem login, eles serão forçados a alterar a senha.
BEWARE a primeira coisa que será perguntada quando eles se conectarem por meio do SSH será a senha atual, então eles poderão configurar uma nova senha. Se não houver senha configurada para esse usuário ou se ele não souber, você o deixou bloqueado. Uma resposta incorreta a (current) UNIX password:
os desconectará imediatamente e se eles se conectarem novamente eles serão solicitados novamente.