In Anlehnung an diesen Thread wollte ich die Sache noch mal etwas genauer betrachten...
Für die Passwortübertragung in der Authentifizierung gibt es in Firebird anscheinend zwei unterschiedliche ISC-Codes:
Das Problem ist hier wohl, dass der 2. ISC-Code wohl für die verschlüsselte Passwortübergabe dient, allerdings niemals im gesamten .NET-Provider-Projekt implementiert wird.
Für mich sieht es so aus, als wäre das mal angedacht gewesen, aber es hat sich einfach nie jemand darum gekümmert...

Hat hier jemand den Source von anderen Firebird-Zugriffskomponenten (IBDAC usw.) und könnte da mal nachschauen, ob es dort eine Möglichkeit gibt, das Passwort verschlüsselt (oder gehasht) zu übertragen?

Es ist ja doch schon eine erhebliche Sicherheitslücke, wenn man eine FB-Datenbank in einer unsicheren Umgebung einsetzen will...

Scheinbar gibt es für Interbase oder Firebird keine sichere Komunikation.
Diese Diskussion ist schon etwas älter:
http://www.borlandtalk.com/1-vt92985.html

Vieleicht hat jemand in diesem Zusammenhang schon Erfahrungen mit dem Einsatz von "zebedee"?

Ja,

Firebird sollte mann nicht in ungesicherten Netzen betreiben.
Nich nur die Anmeldung, die Komplette Kommunikation ist vollkommen offen!
Vieleicht ändert sich das ja in Zukunft mal? Ist halt "Freibier".

LG,
Daniel

Ich habe heute das mal getestet:
Server: Win7(32bit) mit Firebird 2.1 WI-V2.1.4.18393
Client: Win7(64bit) per IBExpert Ver 2012.9.2.1
LAN-Telekom(Standort1)-Telekom(Standort2)-IPFIRE-LAN
mitgelauscht habe ich per Wireshark
in den Protokollen habe ich zwar Username,Host und Alias gefunden
aber kein Passwort im Klartext.

Ich will aber keine Screenshot reinsetzen da dies Produktivdaten sind.
Grüße

Du hast wohl Recht, ich habe es gerade mit einem anderen Programm getestet (Firebird Maestro) und dort wird auch kein Passwort im Klartext übergeben. Es liegt also wohl wirklich an den .NET-Providern.

Ich hab jetzt von zu Hause aus mit
Lazarus (ZEOS 7) connected. Auch keine Klartext Daten.
Es wird das PW verschlüsselt.