Le systeme de type google auth a des "scratch pad" qui sont des code utilisable une seule fois et qui sont a stocker de maniere securisé au cas ou ton app est indispo/volé/cassée.

A vrai dire un mot de passe long n'est pas forcement un gage de sécurité.

"Je m'apelle Nil et j'aime les ours" n'est pas un mot de passe sécurisé.

le 2FA tel que gauth permet aussi en cas de compromission du mot de passe de quand meme bloquer la personne.

Imaginons le cas ou quelqu'un veux vraiment accéder a ton serveur et fait une attaque MITM avancé et vole ton mot de passe de cette manière. Il ne pourra pas récupérer de cette manière le code a rentrer car savoir quel code tu as tapé et quand n'est pas suffisant pour avoir la graine de la sequence.