<div dir="ltr"><div>Chris, thanks for all the explanations. They are indeed helpful. <br></div><div><br></div><div>The "out on the walk" scenario is not a practical concern for me. <br></div><div>My concern was if SMS is used, then the phone itself is a weak link in the security chain, <br></div><div>and as I said, I know someone who was the victim of identity theft because someone <br></div><div>was able to do a SIM swap on him TWICE. <br></div><div><br></div><div>The other concern is that I sometimes travel to Egypt, where it makes sense to get</div><div>a local SIM card and a local card for various reasons. The issue is when I do that, <br></div><div>I am locked out of my Canadian number and it can't be used for 2FA. </div><div><br></div><div><div>What you said after makes this a non issue once I have gone past the "SMS as 2nd factor" <br></div><div>hurdle. <br></div><div><br></div><div>Back to XOauth2. The program that Akkana Peck (Shallow Sky) wrote, works well, but <br></div><div>after a week, Google returns an HTTP 400 error, forcing you to generate a new token. <br></div><div>That is not a practical solution then for getmail running on a server. If it was every,</div><div>say, six months, then it is not too bad. But every week is painful. <br></div><div><br></div><div>That leaves app passwords as the other practical way for a server application. How <br></div><div>often do these need to be refreshed? If it is also a week, then that is a big bummer <br></div><div>moment ... <br></div><div><br></div><div>And on the Google account level, you mentioned that TOTP works. I think I will use</div><div>that as my 2FA for the overall account, since I can run it on Android (FreeOTP+),</div><div>my laptop (oathtool), and the server (oathtool). <br></div></div></div>