Hay algunos riesgos inherentes a considerar, incluso si puede usar una contraseña de un solo uso. Las cuentas de Google son grandes e importantes, por lo que existe el riesgo de que Google esté orientado específicamente.
Espero que un sistema comprometido pueda cambiar la configuración de GMail para reenviar una copia de cada correo que reciba a partir de ese momento. (Además de leer todo su correo electrónico anterior mientras está conectado allí). Entonces podría tener acceso a otras cuentas, por ejemplo. Facebook (creo), o una cuenta de blog. Al utilizar la función "olvidé mi contraseña" para solicitar a la otra cuenta que envíe una nueva contraseña a la dirección de correo electrónico registrada. Que el atacante podría leer.
Espero que incluso puedan cambiar tu configuración de Gmail para definir un filtro, que elimina los correos electrónicos de "aquí está tu nueva contraseña" después de que se hayan reenviado, por lo que no te darás cuenta de esos correos electrónicos. (Solo notaría que cuando intentó iniciar sesión en la otra cuenta, su contraseña original no funcionó y no puede usar la función "Olvidé mi contraseña" porque los correos electrónicos de "aquí está su nueva contraseña" son todavía se está filtrando).
El ataque "olvidé mi contraseña" probablemente no sea un gran problema. Probablemente será spam, como los trucos de las cuentas de facebook / yahoo que ocurren, y el dolor es más por tener que limpiar el desastre, en lugar de cualquier daño significativo.
Google podría mitigar esto también. P.ej. para la variante más sigilosa: si un usuario cambia su configuración de reenvío mientras está conectado desde una nueva computadora / navegador (o tal vez incluso una antigua), entonces el siguiente inicio de sesión en cada otra computadora / navegador (s) podría informarle al usuario sobre la reenviando cambios.