你没有错过任何东西。

这是一个方便的选项，通常必须在启用 2FA 时特别选择加入 - 并且在某种程度上违背了 2FA。

否则，智能手机和电子邮件客户端将毫无用处，或者至少很麻烦。

在智能手机邮件客户端的情况下：对于大多数 2FA 选项，智能手机是第二个因素，因此也没有太大的好处。（并且其他选项可能是不可能的，例如 iPhone 不能使用 yubikeys）。

尽管如此，当该帐户的 IMAP/POP3/SMTP 密码强且唯一且连接受 TLS 保护时，2FA 仍然可以为您提供帮助：您仍然不会被网络钓鱼并且可以使用您的智能手机，并且密码不会被暴力破解并且可以不泄漏（因为它很坚固并且只在那里使用）。

服务器端的身份验证并不神奇。它只是算法做算法做的事情。如果站点上启用了 2FA，该站点将询问您的密码，然后假设该密码正确，它将请求您的 2FA 代码。如果该站点具有类似应用程序专用密码的机制，并且您提供了一个，那么它就不会要求提供 2FA 代码。这很简单。

应用程序专用密码的优点是您可以配置应用程序或服务，限制对您帐户的访问。应用程序专用密码通常不能用于更改您的帐户（除非网站设计不当或存在漏洞）。您仍然需要拥有主密码和 2FA 代码才能执行此操作。

总的来说，我同意@Craig

通常不能用于更改您的帐户

澄清这部分：

2fa 结合应用程序/域特定密码是一种很好的做法，可以在技术上尽可能好地保护您的数字身份 *) 即比没有更好，但不是圣杯。2fa 不仅解决（最重要的部分）丰富的安全级别，而且在没有密码安全的情况下使登录更容易，因为您可能会降低密码的“复杂性”（请记住），同时结合第二个因素（拥有）您的帐户安全性可能会得到改善。（我不是说你应该那样做；））

仍然：泄露的应用程序/邮件密码可被用于滥用您的帐户，例如在其他系统上开设帐户或使用您正确的邮件地址代表您下订单；即使攻击者通常也无法更改您的身份提供者上的密码或帐户详细信息。您仍然可以康复……如果您知道滥用情况。

仍然：如果 2fa 只是在错误密码之上并且没有特定于应用程序的密码，则应用程序（邮件）的安全性会因为 2fa 在 Web 中的误报安全感而“受损”；注意您的提供商安全设置可能的情况，保留您的“旧密码”（https://www.xkcd.com/936/）可能更安全。

尽管如此，应用程序特定密码与提供商生成的密码一样安全。只有当它们确实限制对给定资源的访问时，它们的优势才会被赋予。像“the big G”这样的提供者在我眼中并不出色，因为密码是 128 位生成的，只有低熵（没有特殊字符等），而且这个密码可以无限制地用于任何 API。给定的“应用程序”只是对您的一个提示，如果您想撤销一个，您可以在其中使用它。

*) 据我所知，没有已知的用于高级 IMAP/POP 协议的 RFC 可以让邮件客户端利用 2fa。我怀疑我们是否会得到一个，因为遗留邮件客户端的“大”向后兼容问题。

您必须明确允许该选项是有原因的：它确实会破坏 2FA，因为密码足以允许访问。

原因是允许无法使用 2FA 的富客户端（例如计算机或智能手机上的邮件阅读器）仍然可以访问您的邮件。应对 2FA 丢失的预期对策是使用强密码。我永远不会使用低于 12 个随机字符的那个。但这并不是真正的问题，因为在这种情况下，您让计算机或智能手机记住并输入密码，然后在终端上处理安全性。

这意味着您应该只在受信任和安全的计算机或智能手机上使用它，并且只在不太安全（或受信任）的环境中使用 2FA。