Recentemente ho effettuato l'accesso al mio account Facebook e ho notato che il mio blocco maiuscolo era attivo. Così ho provato ad accedere nuovamente con e senza capslock. Sono entrato in entrambe le volte. Quindi ho provato ad accedere con la prima lettera della mia password in maiuscolo e il resto in minuscolo. Di nuovo, sono entrato. Com'è possibile? Facebook conserva un cookie per la password o qualcosa del genere?
Questo è semplicemente Facebook che cerca di fornire un'esperienza utente migliore per quegli utenti che potrebbero avere Bloc Maiusc abilitato o i cui dispositivi capitalizzano automaticamente la prima lettera della password.
Non penso ci siano dei cookie per la tua domanda. È probabile che l'hashing della password e l'archiviazione siano standard come previsto. Le password alternative sono probabilmente generate dalla password inviata, tramite il modulo di accesso, e non memorizzate come alternative sul back-end.
Sembra che stiano capovolgendo solo a-zA-Z e non un mix di casi errati. Stanno anche controllando un primo carattere con maiuscole come sottolineato da PwdRsch nei commenti.
Sebbene ciò possa aumentare la superficie di attacco della forza bruta in linea, se si utilizza una password ad alta entropia, è piuttosto improbabile che ciò possa rappresentare per me un grosso rischio per la sicurezza.
cioè:
Password: aBcDeF123
Works: AbCdEf123 // Flipped Case
Works: ABcDeF123 // Caps First Char
Doesnt: ABCDEF123 // Mixed Case
Doesnt: AbCdEf!@# // Shifted Numbers