Po co Ci hasło usera, podczas logowania za pomocą Facebooka? To Facebook powinien Cię zautentykować, czy dane się zgadzają. Jeżeli się zgadzają, to odeśle Ci pewnie jakiś Token i status 20x. Nie sprawdzałem co Ci zwraca token, ale posłużyłbym się pewnie E-mailem i zapisał dane w bazie bez hasła (tylko dodałbym pole, które by opisywało że konto zostało stworzone za pomocą logowania FB). Co najwyżej, możesz wewnątrz aplikacji stworzyć opcję "stworzenia możliwości logowania do danego konta za pomocą maila i hasła", tylko wtedy musiałbyś poprosić uzytkownika o stworzenie hasła. Rozdziel sobie bazę danych u siebie, na przynajmniej dwie domeny. Jedna, będzie przechowywała dane użytkownika służące do Autentykacji/Atoryzacji, druga dane już stricte związane z tematyką aplikacji.