Usted escribió (énfasis mío):

  

Cuanto mayor sea el número de contraseñas específicas de la aplicación , mayores serán las posibilidades de que un ataque de fuerza bruta tenga éxito.

     

Estas contraseñas tienen una longitud fija y no contienen números ni símbolos, que las hacen más susceptibles a los ataques de fuerza bruta que una contraseña de longitud desconocida que contiene letras, números y símbolos .

Respuesta corta: no de forma práctica.

Respuesta larga:

Haga los cálculos: 16 letras minúsculas permiten 26 ^ 16 contraseñas diferentes, es decir, más de 10 ^ 22 = 10 × 1000 ^ 7 = diez sextillion contraseñas posibles.

Si la contraseña se elige aleatoriamente con iguales probabilidades (no tenemos ninguna razón para creer que no sea así), las probabilidades de romper la contraseña por fuerza bruta son insignificantes , incluso si Google no nota el ataque y no toma ninguna medida para contrarrestarlo.

Incluso con 100 contraseñas específicas de la aplicación para una cuenta de Google, no hay forma de que alguien intente este ataque. La "susceptibilidad" a los ataques de fuerza bruta es cero.

Y es mucho más fácil en muchos teléfonos inteligentes escribir una contraseña hecha de solo letras minúsculas que una combinación de letras y dígitos o letras mixtas (para el mismo número de contraseñas posibles) .

También escribiste:

  

Google no deshabilita automáticamente las contraseñas específicas de la aplicación cuando se usan repentinamente fuera de su contexto esperado (por ejemplo, para acceder al correo electrónico a pesar de que se configuró para la sincronización de Chrome).

Ese es el único problema de seguridad real aquí.

NO puede iniciar sesión en su cuenta con una contraseña específica de la aplicación

Las contraseñas específicas de la aplicación no pueden cambiar la configuración de seguridad, solo acceden al correo electrónico y al chat. Por lo tanto, puede comprometer su privacidad, pero su cuenta no puede ser secuestrada.

Esto es lo que sucede cuando intenta iniciar sesión para cambiar la configuración de su cuenta con una contraseña específica de la aplicación:

En primer lugar, la autenticación de dos factores protege claramente su cuenta de correo electrónico principal de ataques maliciosos. Los atacantes no pueden acceder directamente a su cuenta de correo electrónico sin acceso a su teléfono.

Esto es mejor que no habilitar la autenticación de dos factores ya que hay una capa de protección adicional.

Lo que hace la contraseña específica de la aplicación es proporcionar una separación clara de su cuenta de correo electrónico. Proporciona una forma para que las aplicaciones accedan a la información de su cuenta sin tener que divulgar la contraseña de su correo electrónico.

Como puede ver en sus imágenes, puede monitorear la actividad de la contraseña específica de la aplicación. Si algo está fuera de lo normal, puede revocar el acceso a la contraseña.

Es posible que se brute la contraseña, pero tiene menos impacto que forzar la contraseña de su cuenta principal. El control de daños es más fácil de implementar, ya que puede revocar las contraseñas cuando sea necesario.

La habilitación de la autenticación de dos factores por Google no tiene inconvenientes, excepto por el ligero inconveniente de tener que buscar su teléfono o generar una nueva contraseña específica de la aplicación cuando la necesite.