Лучше - потому что ключ на порядки длиннее и соответственно сложнее для подбора. Хуже - потому что ключ могут спереть (например, с помощь вируса на рабочем компьютере или телефоне) и если он у вас не запаролен, вы легко можете долгое время не догадываться о компрометации. Поэтому для продукционных сред рекомендую сочетать запароленный ключ, двухфакторную авторизацию (например, с помощью PIN-кода из приложения) и ограничение по точкам входа.

Обычные пароли хуже по следующим причинам:
1. Их можно подобрать перебором
2. Нужно каждый раз вводить
Лично я перевел все свои сервера на ключи когда увидел сколько китайских IP пытаются законнектиться по паролю.

1) кейлоггеры не стырят пароль
2) поменять ключ - гораздо проще, чем создать и запомнить новый пароль.
3) ключ можно использовать для автоматической авторизации
4) ключ более сложный, его нельзя сделать "123", "god", "sex"
5) можно дать доступ множеству пользователей к одному и тому же ресурсу, раздав разные ключи. Пароль же только один.