Bei Linux werden die Anmeldepasswörter verschlüsselt in „/etc/shadow“ gespeichert. Diese Datei ist im allgemeinen nur für Administratoren (root) lesbar, nicht aber für normale Nutzer.
Ein Angreifer müsste also im Browser erst ein Mal aus der Sandbox ausbrechen, um auf das Dateisystem zugreifen zu können und dann müsste er sich noch root.-Rechte beschaffen, um den Datei-Hash zu lesen. Das ist unwahrscheinlich und nur durch fehlerhafte Software möglich.
Hat ein Angreifer den Datei-Hash, dann kann er z.B. mit „Hashcat“ versuchen ihn zu knacken. Dagegen helfen nur lange, komplexe Passwörter.
Auf gut geschützten Rechnern kann man sich nicht über die Ferne mit „root“ anmelden, sondern nur als normaler Benutzer und dann mit „su“ bzw. „sudo“ root-Rechte erhalten. Ein Angreifer wird also auch immer versuchen, dass Nutzerkonto zu knacken und sich dann root-Rechte verschaffen, wobei ihm die Kenntnis des Benutzerpasswortes dafür hilfreich ist, wenn er „su“ oder „sudo“ damit nutzen kann..
Also alles in Allem ist dies für einen Angreifer über eine Internetverbindung sehr schwierig.
Maßnahmen dagegen sind Updates und gute Passwörter.