Удаленные рабочие столы XTightVNC не привязаны к определенной учетной записи пользователя

Вот контекст:

• Сервер Debian 9

• XTightVNC установлен.

• 2 учетных записи пользователей.

• Каждый из них доступен через туннель SSH через порт XXXX и защищен собственным секретным ключом и парольной фразой.

• Каждый из них также имеет свой собственный удаленный рабочий стол, защищенный собственным паролем из 8 символов.

• Порт клиента пересылается через туннель SSH, а vncserver прослушивает порты 59XX на локальном хосте.

Допустим, пользователь A входит в систему благодаря своему закрытому ключу и запускает свой vncserver на локальном хосте сервера, порт 5901, и входит в удаленный рабочий стол с компьютера-клиента vnc.

Если по какой-то причине пользователь B входит в свою учетную запись, а также перенаправляет порт 5901 на клиентском компьютере на порт 5901 на локальном хосте сервера, но без запуска сеанса vnc своей собственной учетной записи на сервере:

• если он вводит пароль своего рабочего стола, соединение явно отклоняется.

• если ему удается найти пароль пользователя VNC A ( длина которого составляет от 6 до 8 символов), он входит в систему и видит удаленный рабочий стол пользователя.

Я проверил это, используя два разных компьютера с пользователем A, являющимся пользователем root (только для примера, я бы не разрешил root-доступ на сервере), а пользователь B был обычным пользователем sudo. У меня был доступ к рабочему столу root.

Это нормальное поведение?

Есть ли способ предотвратить это?

Спасибо всем большое заранее, что нашли время, чтобы прочитать мой пост.