Lo primero es lo primero, en la mayoría de los sistemas operativos de escritorio, cualquier proceso que se ejecute bajo su cuenta de usuario puede interceptar la entrada dirigida a cualquier otro proceso que se ejecute en el mismo escritorio (en lugar de ejecutarse en el escritorio de otra persona a través de RDP, o el "escritorio seguro" en el que se muestran los avisos UAC de Windows), por lo que esto no lo protegerá contra el malware, ya que puede esperar a que regrese y registre sus pulsaciones de teclado, o mostrar una copia del píxel de la contraseña de Firefox en el momento adecuado y espera a que escribas tu contraseña.
Pero, una segunda contraseña maestra puede ser útil dependiendo de su modelo de amenaza.
Supongamos que deja su computadora portátil (con todo el disco encriptado) desbloqueada y desatendida y el conserje le echa un vistazo. Firefox está cerrado y el portero recibe el mensaje de contraseña maestra al abrirlo: el portero no puede iniciar sesión en su correo web y robar sus secretos. Lleno de decepción, se va. Suponemos aquí que el atacante no es lo suficientemente avanzado como para dejar malware en su máquina para capturar la contraseña a su regreso.
Ahora, vamos a reproducir el escenario anterior pero con un atacante patrocinado por el gobierno en lugar del conserje. Alteran la máquina y dejan una pieza de malware para capturar tus secretos cuando ingresas la contraseña maestra. Sin embargo, notó que la máquina fue manipulada y decide no confiar más en ella, por lo que nunca ingresa su contraseña y destruye la máquina.
La agencia gubernamental está decepcionada, despide a los piratas informáticos y los reemplaza con un 5 $ llave inglesa (la defensa contra eso está fuera de alcance para esta respuesta en particular).