文章探讨了 App 专用密码的安全隐患。尽管 Google、Microsoft 等平台推广两步验证和 Passkey，但 App 专用密码的存在依旧带来了安全风险。这些密码不限制使用次数、没有过期时间，且通常用于第三方设备或旧版应用，存储保护相对薄弱。作者指出，这种设计与 MFA（多因素认证）理念相悖，用户需具备极高的安全意识才能安全使用，但实际操作难度大。文章质疑了这些登录平台对用户安全考虑的不足。

🔑 App 专用密码是为第三方设备或旧版应用设计的登录方式，其安全性低于平均水平。这些密码通常用于访问邮箱等敏感账户，一旦泄露，后果严重。

🔓 专用密码不限制使用次数或过期时间，这使得它们更像一把“第二钥匙”，而非一次性使用的安全凭证。用户需要自行管理和定期审核密码是否过期，增加了安全风险。

🤔 专用密码的随机生成特性使其难以记忆，用户往往将其记录在不安全的地方，这与多因素认证（MFA）的理念背道而驰。这增加了密码泄露的风险。

⚠️ 鉴于 App 专用密码的潜在风险，用户需要具备极高的安全意识，并严格遵守使用规范才能确保安全。但这对于大多数用户来说，操作难度较大。

清理数码垃圾堆时翻到一个几年前做的 thunderbird 优盘，打开就能直接同步我现在邮箱的内容。这个 thunderbird 版本根本就不支持两步验证等手段，而且它吃灰期间我的邮箱密码也已经换过了，竟然都难不倒它。因为当初给它登陆用的是 app password 。

谷歌微软苹果亚麻很早就都在推两步验证，现在又换成 passkey ，号称无敌安全。但是他们都允许用户为 app 创建专用登陆密码。

按照介绍，这个密码应该是一次性使用，专码专用。实际上，这个密码既不限制有几个用户，也不限制用几次，更没有过期时间。完全就是第二把钥匙。

而且这个密码多半是用于第三方设备或老旧 app ，对这个密码的存储保护是明显弱于平均水平的。一旦泄露，依然等于裸奔。该密码的随机生成不好记的特性又逼着用户把它记在什么地方，实在是跟 MFA 的理念背道而驰。

使用这个密码需要用户有很强的安全意识，并且严格遵循使用规范，定期手动审核是否过期，对绝大部分用户来说很不现实。真心不知道这些登陆平台是怎么这么心大随便放给用户用的