Acabo de eliminar y volver a agregar mi cuenta de Google a mi teléfono Android. Me sorprendió que para agregar la cuenta, tuve que proporcionar mi contraseña normal y un TOTP de Google Authenticator. No era una opción utilizar una contraseña específica de la aplicación. Dado que google authenticator se instaló en el teléfono en cuestión, no parece ser un método apropiado para 2FA. Por supuesto, un atacante potencial aún requeriría acceso al teléfono Y a mi contraseña, por lo que todavía hay dos factores de autenticación, pero no como lo esperaba.
¿Tengo entendido que una contraseña específica de la aplicación sería más segura? Si es así, no me parece correcto que permitir que una sola aplicación acceda a parte de mi cuenta es más seguro que el acceso completo a la cuenta.
¿Es posible cambiar una configuración para requerir "agregar cuenta" en un dispositivo Android para usar una contraseña específica de la aplicación, o al menos usar un TOTP de un dispositivo diferente?
Hay una pregunta similar en el sitio de intercambio de pila de Android . ¿Es apropiado repetir la pregunta aquí para obtener una perspectiva de seguridad sobre la pregunta? También estaría abierto a sugerencias para un foro de Google donde podría publicar esta pregunta (encontré dos que me dieron el error 554).