Senhas específicas do aplicativo do Google e autenticação em duas etapas

O ponto é que isso impõe limites extras ao que pode ser acessado por um invasor. Por exemplo, se um serviço ou aplicativo de terceiros que acessa sua Conta do Google for comprometido e ele fornecer sua senha (!), Você poderá facilmente revogar apenas essa senha, sem afetar nenhum outro aplicativo ou serviço que esteja usando sua conta.

E, mesmo que alguém tenha acesso à sua conta, eles só terão acesso por no máximo 30 dias e perderão o acesso, o que é melhor do que o acesso indefinido que você nem conhece.

Uma boa explicação de outro site:

The idea behind app-specific password is enabling 2-factor authentication for protocols that don’t support 2-step authentication, like POP or IMAP.

If I get to know your primary password, I cannot access your account from the browser (because I won’t have the verification code) as well as from a client like Outlook (because they won’t accept your primary password).

App-specific passwords are applicable only to thick clients that require you to give your password to. You cannot use app-specific passwords in the browser. This means that if I get access to one of your app-specific passwords, I cannot log into your Blogger account or change your Gmail filters. Indeed, I can read your mail and impersonate you on chat. But I cannot, for example, lock you out of your account.

Fonte