Thông thường, các chuyên gia bảo mật khuyến cáo người dùng không bao giờ tiết lộ hoặc đăng nhập mật khẩu tại bất kỳ dịch vụ nào ngoài dịch vụ bắt buộc phải nhập để tránh nguy cơ tấn công giả mạo, đánh cắp mật khẩu và thông tin cá nhân người dùng.
Tuy nhiên, theo như báo cáo của trang The Daily Beast, nếu người dùng muốn đăng ký Facebook với một số dịch vụ cung cấp email, chẳng hạn như Yandex và GMX, Facebook yêu cầu xác nhận địa chỉ email của người sử dụng bằng cách nhập trực tiếp mật khẩu của mình vào trang mạng xã hội này.
Mặt khác, người dùng dịch vụ cung cấp email khác như Gmail của Google thì lại không thấy yêu cầu này vì Gmail sử dụng công cụ ủy quyền OAuth - một công cụ phổ biến, xác minh an toàn danh tính của người dùng mà không yêu cầu nhập mật khẩu như Facebook đang thực hiện bây giờ.
Nguồn tin của trang Business Insider cũng đã phát hiện ra rằng nếu một người mới đăng ký quyết định nhập mật khẩu tài khoản email của mình vào Facebook, một cửa sổ pop-up xuất hiện và thông báo Facebook đang "nhập danh bạ" dù không xin phép người dùng làm điều trên. Vẫn chưa rõ liệu công cụ này có thực sự nhập các danh bạ hay không vì có vẻ Facebook không lấy các mục trong danh sách liên lạc được người viết nguồn tin trang Business Insider tạo ra nhằm mục đích kiểm tra dù các thông tin liên lạc này mới lập được có vài phút.
Khi được đề nghị bình luận về vấn đề này, một phát ngôn viên của Facebook cho biết công ty hiện đang tạm ngưng tính năng này mặc dù công ty không nói rõ thời gian cụ thể.
Trong một cuộc gọi phỏng vấn, nhà nghiên cứu bảo mật tại nhóm vận động Electronic Frontier Foundation - Bennett Cyphers đã chỉ trích gay gắt hành động của Facebook: "Hành vi này về cơ bản không khác gì một vụ tấn công giả mạo". Ông chỉ ra rằng người dùng thường được khuyến cáo không bao giờ cung cấp mật khẩu của mình cho bất kỳ ai khác ngoài trang web mà họ đã tạo.
Tiếp đó, ông Cyphers viết trong email: "Điều này thực sự không tốt trên nhiều mức độ. Facebook đã đòi hỏi thông tin một cách quá đáng bằng cách biện minh yếu ớt nhằm lừa mọi người đăng dữ liệu danh bạ của mình lên trên Facebook theo yêu cầu đăng ký. Ngay cả khi bạn đồng ý đăng thông tin liên hệ lên Facebook thì cũng đừng bao giờ nhập mật khẩu email của mình để làm điều trên.
Không có công ty nào được phép yêu cầu mọi người cung cấp thông tin như thế và bạn không nên tin bất cứ ai làm điều trên. Hành vi này đi ngược lại với tất cả yêu cầu bảo mật thông thường, quyền riêng tư cơ bản và cả lẽ thường."
Chuyên gia bảo mật và nhà điều hành dịch vụ thông báo hack có tên Have I Been Pwned, Troy Hunt cũng chỉ trích qua email: "Đây chắc chắn là hành vi chống phá bảo mật trong phạm vi nhất định do liên quan đến việc chia sẻ thông tin bảo mật từ một nền tảng (dịch vụ cung cấp email) với một nền tảng khác (Facebook).
Mặc dù Facebook chắc chắn sẽ thực hiện các biện pháp phòng ngừa để bảo vệ mật khẩu email nhưng điều này sẽ không cần thiết nếu dễ xảy ra động thái thay thế khác (chẳng hạn như cách tiếp cận của Facebook với tài khoản Gmail) và khiến người dùng vướng vào hành vi rủi ro".
Cho dù biểu mẫu nhập mật khẩu thông báo mật khẩu sẽ không được Facebook lưu lại nhưng người dùng không có cách nào tự kiểm tra và xác nhận trường hợp trên là chính xác. Báo chí gần đây tiết lộ công ty đã lưu lại hàng trăm triệu mật khẩu của người dùng chỉ bằng tờ văn bản đơn giản, vi phạm các chính sách yêu cầu bảo mật trong phạm vi rộng.
Trong bài phát biểu, một phát ngôn viên của Facebook cho biết: "Những mật khẩu này không được Facebook lưu lại. Chỉ có nhóm người dùng nhỏ có tùy chọn nhập mật khẩu email để xác minh tài khoản của mình khi mới đăng ký Facebook lần đầu. Thay vì làm điều này, người dùng luôn có thể chọn cách xác nhận tài khoản bằng mã được gửi đến điện thoại hoặc một đường link được gửi đến email của mình."
Phát ngôn viên này nói thêm: "Điều đó có nghĩa là, chúng tôi hiểu yêu cầu xác minh bằng mật khẩu không phải là cách tốt nhất cho người dùng đăng ký Facebook nên chúng tôi sẽ ngừng cung cấp tùy chọn này".