Recientemente inicié sesión en mi cuenta de Facebook y luego noté que mi bloqueo de mayúsculas estaba activado. Así que intenté iniciar sesión de nuevo con y sin capslock activado. Me metí en ambas ocasiones. Luego intenté iniciar sesión con la primera letra de mi contraseña en mayúsculas y el resto en minúsculas. Una vez más, entré. ¿Cómo es esto posible? ¿Facebook mantiene una cookie para la contraseña o algo así?
Esto es simplemente Facebook, tratando de proporcionar una mejor experiencia de usuario para aquellos usuarios que pueden tener Bloqueo de mayúsculas habilitado, o cuyos dispositivos escriben automáticamente con mayúscula la primera letra de la contraseña.
No creo que haya cookies por tu pregunta. Es probable que el hashing y el almacenamiento de la contraseña sean tan estándar como cabría esperar. Las contraseñas alternativas probablemente se generan a partir de la contraseña enviada, a través del formulario de inicio de sesión, y no se almacenan como alternativas en el back-end.
Parece que solo están invirtiendo a-zA-Z , y no una combinación de un caso incorrecto. También están verificando un primer carácter con mayúsculas, como se señala en PwdRsch en los comentarios.
Si bien esto puede aumentar la superficie de ataque de fuerza bruta en línea, si utiliza una contraseña de alta entropía, es muy poco probable que esto suponga un riesgo de seguridad en mi opinión.
es decir:
Password: aBcDeF123
Works: AbCdEf123 // Flipped Case
Works: ABcDeF123 // Caps First Char
Doesnt: ABCDEF123 // Mixed Case
Doesnt: AbCdEf!@# // Shifted Numbers