Facebook es correcto. Es una disminución insignificante en la seguridad para un enorme aumento en la usabilidad.
Incluso hacer que las contraseñas un millón de veces sean más fáciles de adivinar no es un gran problema. Eso es lo que hacen muchos otros sitios. Para resolver el mismo problema, simplemente tratan a todas las mayúsculas y minúsculas de la misma manera. Eso significa que una contraseña de 9 letras tendrá un millón de combinaciones, y por lo tanto será un millón de veces más fácil de adivinar.
Si bien este tipo de cosas hace que las contraseñas sean "más débiles", los sitios web pueden hacer cosas para que las contraseñas sean "más fuertes". Una forma es imponer longitudes de contraseña mínimas, o forzar a los usuarios a incluir puntuación / números. Otra forma es "reforzar la clave", o hash repetidamente una contraseña muchas veces. Por ejemplo, algunos sitios tienen la contraseña 1000 veces, lo que la hace 1000 veces más difícil de descifrar.
Algunas personas eligen contraseñas fáciles como "123456" que pueden adivinarse sin importar qué tan fuerte sea el sistema. Del mismo modo, algunas personas eligen contraseñas como "# hd & G !! nv * 63" que no se pueden adivinar, no importa cuán débil sea el sistema. Hacer que el sistema sea un millón de veces más fuerte o un millón de veces más débil solo protege / pone en peligro la pequeña cantidad de contraseñas en el borde entre las dos.