La password per l'applicazione di Google è generata dal computer e probabilmente è molto più strong di una password generata dall'uomo. Questo è OK perché la password generata è memorizzata dal dispositivo, non memorizzata da un essere umano. Le password delle applicazioni di Google sembrano essere 16 lettere minuscole. Questo dà 4x10 22 combinazioni. Un aggressore che può provare dieci miliardi di combinazioni al secondo avrebbe bisogno di circa un anno e tre mesi per testare tutte le possibili combinazioni. In media, un tale aggressore avrebbe "colpito" la password corretta in sette mesi.
Le password dell'applicazione sono intese solo per dispositivi ai quali l'autenticazione a due fattori non è applicabile. Ricorda, le tre proprietà della sicurezza delle informazioni sono riservatezza, integrità e disponibilità. Quando si utilizza una password per l'applicazione, si accetta una diminuzione teorica della riservatezza e dell'integrità per un reale aumento della disponibilità; senza la password dell'applicazione, non saresti in grado di utilizzare il tuo account Google su determinati dispositivi perché l'applicazione non è stata progettata per la sicurezza a due fattori.
Poiché Boris the Spider ha già indicato, puoi utilizzarli per dispositivo. Se il mio iPhone viene rubato o perso, posso revocare la password. Presumibilmente cancellando a distanza un dispositivo perso si cancellerebbe anche la password dell'applicazione.
Infine, una buona sicurezza richiede una protezione a più livelli. Se sei preoccupato che, ad esempio, il governo di Elbonia (o forse l'NSA) stia tentando di rompere il tuo Gmail, non solo cambieresti la password dell'applicazione ogni mese o così, avresti usato qualcosa come GPG per crittografare le tue comunicazioni in modo che anche un compromesso del tuo account Gmail non comprometterebbe il contenuto dei messaggi.