Soy dueño de una aplicación que toma un token de acceso a Facebook de larga duración para poder usarlo más tarde de acuerdo con el usuario registrado correspondiente.
¿Debería tener que cifrarlos antes de almacenarlos, para evitar fugas si la base de datos está pirateada, o ya existe un mecanismo de Facebook para evitar un uso malicioso?
Simplemente: sí, cifrarlo. Y no almacene la clave de cifrado en la base de datos.
El token está vinculado a su aplicación, por lo que es posible que un atacante no pueda usarlo solo, pero si pueden violar su base de datos y obtener su aplicación en secreto también pueden usar el token. Tendría que cifrar el secreto de la aplicación y los tokens del usuario.
Lea otras preguntas en las etiquetas encryption facebook databases