No, una password del firmware non impedisce Thunderstrike.
L'idea dietro ogni tipo di attacco DMA è che un dispositivo fisico può leggere (o possibilmente scrivere) una memoria sensibile senza che l'utente se ne accorga. Questo può anche essere usato per bypassare una schermata di blocco se il laptop viene lasciato incustodito, anche se il solito scenario di attacco è che la periferica Thunderbolt dell'utente viene sostituita con una versione malevola che esegue l'attacco DMA e fornisce accesso remoto o exfiltration, senza che si accorgano che è accadendo.
Come parte di questo scenario, il portatile dovrebbe essere attaccato mentre è acceso e in uso. Altrimenti non c'è nulla di interessante nella memoria da rubare.
Per quanto riguarda la disattivazione di Thunderbolt, ho dato una rapida occhiata ad alcuni schemi circuitali trapelati per Apple MBP (non posso collegarli o incorporarli qui per ovvi motivi) e sembra che le linee dati del mini-DP vadano direttamente (*) ai bus necessari per eseguire DMA. In quanto tale, sembra che siano direttamente integrati nell'hardware e, anche se hai disattivato la funzionalità di Thunderbolt a livello di software, un dispositivo collegato può sempre comunicare direttamente con la memoria.
A meno che manchi qualcosa di critico, sfortunatamente sembra che la tua unica opzione sia disabilitare fisicamente le porte in conflitto con la resina epossidica, o passare a utilizzare un dispositivo che non esponga tale funzionalità sensibile all'IO periferico.
(*) Tecnicamente passano attraverso alcuni filtri e buffer, ma questi sono irrilevanti. Ho anche controllato lo schema solo per una marca e modello specifici di MBP, quindi altri potrebbero avere modi per tagliare la funzionalità di Thunderbolt tramite SMC.