Also zumindest bei mir ist es so: will man sich als root einloggen wird erst die SSH-Passphrase abgefragt, auch wenn diese nicht vorhanden ist. Wird dann nichts oder etwas falsches dafür eingegeben, wird das normale Passwort abgefragt. Du kannst einfach für root auch wie beschrieben ein Schlüsselpaar erzeugen und mit einer Passphrase versehen.