这只是 Facebook 试图为可能启用了 Caps Lock 或设备自动将密码的第一个字母大写的用户提供更好的用户体验。

根据您的问题，我认为没有任何 cookie。密码散列和存储很可能与您期望的一样标准。备用密码可能是通过登录表单提交的密码生成的，而不是作为备用密码存储在后端。

看来他们只是翻转a-zA-Z，而不是混合不正确的情况。正如PwdRsch在评论中指出的那样，他们还在检查大写的第一个字符。

虽然这可能会增加在线蛮力攻击面，但如果您使用高熵密码，在我看来这不太可能会带来很大的安全风险。

IE：

Password: aBcDeF123
Works:    AbCdEf123  // Flipped Case
Works:    ABcDeF123  // Caps First Char
Doesnt:   ABCDEF123  // Mixed Case
Doesnt:   AbCdEf!@#  // Shifted Numbers