In Anlehnung an diesen Thread wollte ich die Sache noch mal etwas genauer betrachten...
Für die Passwortübertragung in der Authentifizierung gibt es in Firebird anscheinend zwei unterschiedliche ISC-Codes:
Das Problem ist hier wohl, dass der 2. ISC-Code wohl für die verschlüsselte Passwortübergabe dient, allerdings niemals im gesamten .NET-Provider-Projekt implementiert wird.
Für mich sieht es so aus, als wäre das mal angedacht gewesen, aber es hat sich einfach nie jemand darum gekümmert...

Hat hier jemand den Source von anderen Firebird-Zugriffskomponenten (IBDAC usw.) und könnte da mal nachschauen, ob es dort eine Möglichkeit gibt, das Passwort verschlüsselt (oder gehasht) zu übertragen?

Es ist ja doch schon eine erhebliche Sicherheitslücke, wenn man eine FB-Datenbank in einer unsicheren Umgebung einsetzen will...