No, una contraseña de firmware no evitaría Thunderstrike.
La idea detrás de cualquier tipo de ataque DMA es que un dispositivo físico pueda leer (o posiblemente escribir) una memoria sensible sin que el usuario se dé cuenta. Esto también se puede usar para omitir una pantalla de bloqueo si la computadora portátil se deja desatendida, aunque el escenario de ataque habitual es que el periférico Thunderbolt del usuario se reemplaza con una versión malintencionada que realiza el ataque DMA y proporciona acceso remoto o exfiltración, sin que se den cuenta de que sucediendo.
Como parte de este escenario, la computadora portátil debería ser atacada mientras está encendida y en uso. De lo contrario no hay nada interesante en la memoria para robar.
En cuanto a la desactivación de Thunderbolt, eché un vistazo rápido a algunos esquemas de circuitos filtrados para los MBP de Apple (no puedo vincularlos o incrustarlos aquí por razones obvias) y parece que las líneas de datos del mini-DP van directamente (*) a los buses necesarios para realizar DMA. Como tal, parece que están integrados directamente en el hardware e, incluso si desactivó la funcionalidad Thunderbolt en el nivel de software, un dispositivo conectado siempre puede comunicarse directamente con la memoria.
A menos que me esté faltando algo crítico, desafortunadamente parece que su única opción es desactivar físicamente los puertos ofensivos con epoxy, o cambiar a usar un dispositivo que no exponga esa funcionalidad sensible a periferia IO.
(*) Técnicamente pasan a través de algunos filtros y buffers, pero estos son irrelevantes. También solo revisé el esquema para una marca y modelo específicos de MBP, por lo que otros pueden tener formas de cortar la funcionalidad Thunderbolt a través del SMC.