Per prima cosa, sulla maggior parte dei sistemi operativi desktop, qualsiasi processo in esecuzione sotto il tuo account utente può intercettare l'input mirato a qualsiasi altro processo in esecuzione sullo stesso desktop (anziché funzionare sul desktop di qualcun altro su RDP o sul "desktop sicuro") su cui vengono visualizzati i prompt di UAC di Windows), quindi questo non proteggerà il malware, in quanto può attendere il ritorno e la registrazione delle sequenze di tasti o la visualizzazione di una copia pixel perfetta della richiesta di password di Firefox al momento giusto e attendi che tu scriva la tua password.
Tuttavia, una seconda password principale potrebbe essere ancora utile a seconda del modello di minaccia.
Diciamo che lasci il tuo (completo disco crittografato) laptop sbloccato e incustodito e il bidello dia un'occhiata. Firefox è chiuso e il bidello riceve il prompt della password principale all'apertura - il bidello non può accedere alla tua webmail e rubare i tuoi segreti. Pieno di delusione, se ne va. Presumiamo qui che l'autore dell'attacco non sia abbastanza avanzato da lasciare il malware sul tuo computer per acquisire la password al tuo ritorno.
Ora, ripetiamo lo scenario sopra, ma con un aggressore sponsorizzato dal governo invece del custode. Manomettono la macchina e lasciano un pezzo di malware su di essa per catturare i tuoi segreti quando inserisci la password principale. Tuttavia, hai notato che la macchina è stata manomessa e decidi di non fidarti più, quindi non devi mai digitare la tua password e distruggere la macchina.
L'agenzia governativa è delusa, licenzia gli hacker e li sostituisce con una chiave $ 5 (difendersi da ciò è fuori portata per questa risposta particolare).