文章探讨了旧版Thunderbird通过App密码同步邮箱内容的现象，并深入分析了App密码在安全性上的潜在风险。尽管谷歌、微软等平台力推两步验证和Passkey，但App密码作为一种专为第三方设备或旧版应用设计的登录方式，其安全性却远低于预期。文章指出，App密码缺乏使用次数限制和过期时间，且存储保护相对较弱，一旦泄露，后果严重。此外，App密码的随机性也增加了用户记忆和管理的难度，与多因素认证（MFA）的理念相悖。文章呼吁用户谨慎使用App密码，并强调安全意识的重要性。

🔑Thunderbird优盘的发现：几年前制作的Thunderbird优盘，即使在邮箱密码已更改、且不支持两步验证的情况下，仍能同步邮箱内容，这主要归功于App密码的使用。

🔓App密码的本质：App密码是用于第三方设备或旧版应用登录的专用密码，但实际上，此类密码通常不限制使用次数和过期时间，形同“第二把钥匙”，安全性堪忧。

⚠️存储保护的弱点：App密码的存储保护通常弱于平均水平，一旦泄露，账户安全将面临巨大风险。

🤔用户面临的挑战：App密码的随机性导致用户需要将其记录在其他地方，这与多因素认证（MFA）的理念背道而驰，增加了安全风险。

💡安全建议：文章强调，使用App密码需要用户具备很强的安全意识，并严格遵循使用规范，定期手动审核其是否过期，但这对大多数用户来说并不现实。

清理数码垃圾堆时翻到一个几年前做的 thunderbird 优盘，打开就能直接同步我现在邮箱的内容。这个 thunderbird 版本根本就不支持两步验证等手段，而且它吃灰期间我的邮箱密码也已经换过了，竟然都难不倒它。因为当初给它登陆用的是 app password 。

谷歌微软苹果亚麻很早就都在推两步验证，现在又换成 passkey ，号称无敌安全。但是他们都允许用户为 app 创建专用登陆密码。

按照介绍，这个密码应该是一次性使用，专码专用。实际上，这个密码既不限制有几个用户，也不限制用几次，更没有过期时间。完全就是第二把钥匙。

而且这个密码多半是用于第三方设备或老旧 app ，对这个密码的存储保护是明显弱于平均水平的。一旦泄露，依然等于裸奔。该密码的随机生成不好记的特性又逼着用户把它记在什么地方，实在是跟 MFA 的理念背道而驰。

使用这个密码需要用户有很强的安全意识，并且严格遵循使用规范，定期手动审核是否过期，对绝大部分用户来说很不现实。真心不知道这些登陆平台是怎么这么心大随便放给用户用的