Facebook è corretto. È una diminuzione insignificante della sicurezza per un enorme aumento dell'usabilità.
Anche rendere le password un milione di volte più facili da indovinare non è un grosso problema. Questo è quello che fanno molti altri siti. Per risolvere lo stesso problema, trattano semplicemente tutte le maiuscole e minuscole allo stesso modo. Ciò significa che una password di 9 lettere avrà un milione di combinazioni, e quindi diventerà un milione di volte più facile da indovinare.
Mentre questo genere di cose rende le password "più deboli", i siti Web possono fare cose per rendere le password più "forti". Un modo è quello di imporre lunghezze minime delle password o obbligare gli utenti a includere punteggiatura / numeri. Un altro modo è "rafforzare la chiave", o ripetere ripetutamente l'hashing di una password molte volte. Ad esempio, alcuni siti hanno cancellato la password 1000 volte, il che rende 1000 volte più difficile da decifrare.
Alcune persone scelgono password semplici come "123456" che possono essere indovinate indipendentemente da quanto sia strong il sistema. Allo stesso modo, alcune persone scelgono password come "# hd & G !! nv * 63" che non possono essere indovinate, non importa quanto sia debole il sistema. Rendere il sistema un milione di volte più strong o un milione di volte più debole protegge e mette a rischio solo il piccolo numero di password sul bordo tra i due.