La contraseña de la aplicación de Google es generada por computadora, y es probable que sea mucho más fuerte que una contraseña generada por el hombre. Eso está bien porque la contraseña generada es almacenada por el dispositivo, no memorizada por un humano. Las contraseñas de las aplicaciones de Google parecen ser 16 letras minúsculas. Eso da 4x10 22 combinaciones. Un atacante que puede probar diez mil millones de combinaciones por segundo necesitaría alrededor de un año y tres meses para probar todas las combinaciones posibles. En promedio, tal atacante "golpearía" la contraseña correcta en siete meses.
Las contraseñas de las aplicaciones están destinadas solo a dispositivos en los que no se aplica la autenticación de dos factores. Recuerde, las tres propiedades de la seguridad de la información son la confidencialidad, la integridad y la disponibilidad. Cuando utiliza una contraseña de aplicación, acepta una disminución teórica de la confidencialidad y la integridad para un aumento muy real en la disponibilidad; sin la contraseña de la aplicación, no podría usar su cuenta de Google en ciertos dispositivos porque la aplicación no fue diseñada para la seguridad de dos factores.
Como Boris the Spider ya ha señalado, los utiliza por dispositivo. Si mi iPhone es robado o perdido, puedo revocar la contraseña. Es de suponer que la eliminación remota de un dispositivo perdido también eliminaría la contraseña de la aplicación.
Finalmente, una buena seguridad requiere protección por capas. Si le preocupa que, digamos, el gobierno de Elbonia (o tal vez la NSA) está intentando descifrar su Gmail, no solo cambiaría la contraseña de la aplicación cada mes, sino que usaría algo como GPG para cifrar sus comunicaciones, que incluso un compromiso de su cuenta de Gmail no comprometería el contenido de los mensajes.