Нигде и никогда логин и пароль не проходили через lowercase(), именно по причине безопасности. Авторизацию придумали в UNIX. А все последователи основаны на этих минимальных принципах, и все наследуют этот уровень безопасности. В том числе базовые библиотеки PHP, и все основанные на них распространённые CMS.
Может, попса, типа одноклассников, на это и могла пойти на это, но можно проверить (не хочу проверять). Скорее всего, смена регистра в одной букве (логине или пароле) там тоже не пройдёт.