好问题！你应该记住几件事情。

1. 默认密码

这是非常基本的，您可能已经想到了，但让我重申：默认或简单的密码是致命的。当我问这个问题时，我了解到 Mirai 蠕虫的工作方式只是通过默认用户名和密码进行攻击。 无论您做什么，都不要在物联网设备上设置默认密码。

2. 无密码 ssh（或其他基于密钥的设置）的安全风险

基本上，设置基于密钥的唯一风险是如果有人掌握了您的私钥。否则，无密码 ssh 实际上比输入密码更安全。 在我看来，有几个原因：

1. 密码很容易暴力破解（僵尸网络，就像你建议的那样）
2. 通常，击键不会以极其安全的加密方式发送，如果有的话。
3. 无密码 ssh 通常使用 DSA 或 RSA 加密，但您如何设置。（有关详细信息，请查看security.SE 上的这篇文章）

3. 密码输入的安全风险。

正如我在上面提到的，密码相对容易被暴力破解，并且密码在途中被截获的风险不大可能但可能存在。

请注意，如果您确实使用无密码 ssh，则绝对应该使用密码保护它。

假设您需要处理固件更新（否则，默认情况下您是不安全的），那么您还需要对更新进行签名（并以安全的方式管理更新）。否则，攻击者可以简单地向您的设备展示受感染的更新包。显然，如果您这样做，您将无法让用户以相同的方式应用固件更新，但您不一定需要将它们完全锁定（因为它们具有物理访问权限）。

此外，您需要提供一种安全的方式来为每个设备配置一个对最终用户可见的唯一 ssh 密钥（但如果您接受物理访问意味着所有权，它们可以包含在设备上）。