文章探讨了应用程序专用密码（App Password）在电子邮件客户端等场景中的安全问题。尽管谷歌、微软等平台大力推广两步验证和Passkey，但App Password作为一种辅助登录方式，其安全性却面临挑战。文章指出App Password的潜在风险，包括密码的重复使用、存储保护弱以及用户安全意识要求高等问题，最终引发了对这类登录方式安全性的担忧。

🔑App Password的本质是为第三方设备或旧版应用程序创建的专用登录密码。这些密码的设计初衷是方便用户在不支持现代安全措施的设备上登录，例如文中提到的旧版Thunderbird。

🔓App Password的安全性受到质疑，因为它们通常不限制使用次数或过期时间。这与一次性使用的设计理念相悖，增加了密码泄露的风险。一旦泄露，攻击者可以长期访问用户的帐户。

🤔App Password的存储保护通常不如主密码。由于App Password多用于第三方设备或旧版应用程序，其存储位置和保护措施往往不如用户的主密码安全。这使得App Password更容易受到攻击。

😩App Password的随机性使其难以记忆，用户往往需要将其记录在其他地方。这种做法与多因素身份验证（MFA）的理念背道而驰，增加了密码泄露的风险。用户需要具备很强的安全意识，并定期手动审核App Password是否过期，这对于普通用户来说具有挑战性。

清理数码垃圾堆时翻到一个几年前做的 thunderbird 优盘，打开就能直接同步我现在邮箱的内容。这个 thunderbird 版本根本就不支持两步验证等手段，而且它吃灰期间我的邮箱密码也已经换过了，竟然都难不倒它。因为当初给它登陆用的是 app password 。

谷歌微软苹果亚麻很早就都在推两步验证，现在又换成 passkey ，号称无敌安全。但是他们都允许用户为 app 创建专用登陆密码。

按照介绍，这个密码应该是一次性使用，专码专用。实际上，这个密码既不限制有几个用户，也不限制用几次，更没有过期时间。完全就是第二把钥匙。

而且这个密码多半是用于第三方设备或老旧 app ，对这个密码的存储保护是明显弱于平均水平的。一旦泄露，依然等于裸奔。该密码的随机生成不好记的特性又逼着用户把它记在什么地方，实在是跟 MFA 的理念背道而驰。

使用这个密码需要用户有很强的安全意识，并且严格遵循使用规范，定期手动审核是否过期，对绝大部分用户来说很不现实。真心不知道这些登陆平台是怎么这么心大随便放给用户用的