1) předpokládám, že ty stránky nekontrolují zaměstnanci Facebooku, takže vhodně nastavený soubor robots.txt práci Facebooku zkomplikuje.
2) tohle zabrání v útoku naprostým lamám. V drtivé většině případů jsou jména a hesla zveřejněna až po té, co byla použita (byť třeba jen u zlomku uživatelů, kterým unikla). Určitě je to dobré řešení, ale není všespásné.
3) největší slabinou každého zabezpečení je člověk (většinou uživatel, který své heslo útočníkovi prozradí, ale často je to programátor, který nechá ve službě díru, nebo zaměstnanec provozovatele nějaké služby, který účet zpřístupní útočníkovi, protože ho přesvědčí, že je původní uživatel).
PS: pokud má útořník funkční pár login/heslo z jiné služby (typicky email), má docela velkou šanci zresetovat heslo sám nejen na facebooku.