In base alle abitudini della tua password, non penso che farà una differenza sostanziale.
Se usi una password lunga, strong e casuale, non sarà possibile per nessuno crackare la tua password tramite indovinare online (ad esempio, attacchi automatici, in cui l'attaccante si collega ripetutamente a Google e prova a indovinare la tua password a un tempo). Questo è vero anche se Google non utilizza un CAPTCHA per IMAP e anche se Google non esegue alcuna limitazione della velocità dopo diverse ipotesi errate di password (quali potrebbero). Rompere la tua password in questo modo richiederebbe troppo tempo. Si consideri, ad esempio, una password casuale composta da 8 caratteri composta da caratteri alfanumerici. Ci sono 62 ^ 8 possibili password. Questo è circa 10 ^ 14. Quindi, per trovare la tua password, un utente malintenzionato dovrebbe provare ad accedere a Gmail 10 ^ 14 volte. A una velocità di 1000 tentativi di accesso / secondo, ci vorranno 10 ^ 11 secondi = 3.000 anni. Pertanto, non vale la pena preoccuparsene.
Il link più debole della tua sicurezza è probabilmente un'altra cosa, ad esempio la sicurezza del dispositivo client che utilizzi.
In altre parole, la difficoltà di indovinare la tua password non è l'anello più debole della catena, quindi (secondo la legge di Amdahl) non vale la pena di ottimizzarlo: rendere difficile indovinare la password non cambierà molto il costo di l'attacco più economico, e non cambierà molto il tuo rischio complessivo.
P.S. I do consiglia di assicurarsi di utilizzare sempre SSL o TLS, per impedire agli utenti di intercettare la password. Ad esempio, utilizza IMAPS (IMAP su SSL / TLS) per connettersi a Gmail. Se il tuo server supporta entrambi, IMAPS è probabilmente superiore a STARTTLS, perché STARTTLS ricadrà in comunicazioni in chiaro non crittografate se non è in grado di negoziare TLS, mentre IMAPS no.