История изменений

В голову с ходу приходит вариант с асимметричной криптографией. Скажем, если приложение генерирует приватный и публичный ключ. Публичный ключ отправляют в гугл и прикрепляют к аккаунту. Приватный ключ остаётся на устройстве. При генерации пароля приватным ключом шифруется текущая дата (с точностью до секунды, скажем), результат шифрования и будет паролем. Сервер дешифрует и проверяет, чтобы пароль не был слишком тухлый. Плюс добавляет пароль в список «уже было» и в следующий раз не принимает (по истечении срока годности пароля, можно забыть его навсегда, чтобы не забивать чёрный список). В результате получается огромная надёжность (пока не сопрут приватный ключ, но это будет невозможно без физического доступа, если отключить на устройстве интернет), а связь с сервером требуется только в момент генерации ключей.

Как это сделано в конкретном примере - понятия не имею, но должно быть что-то подобное.

В голову с ходу приходит вариант с асимметричной криптографией. Скажем, если приложение генерирует приватный и публичный ключ. Публичный ключ отправляют в гугл и прикрепляют к аккаунту. Приватный ключ остаётся на устройстве. При генерации пароля приватным ключом шифруется текущая дата (с точностью до секунды, скажем), результат шифрования и будет паролем. Сервер дешифрует и проверяет, чтобы пароль не был слишком тухлый. Плюс добавляет пароль в список «уже было» и в следующий раз не принимает (по истечении срока годности пароля, можно забыть его навсегда, чтобы не забивать чёрный список). В результате получается огромная надёжность (пока не сопрут приватный ключ, но это будет невозможно без физического доступа, если отключить на устройстве интернет), а связь с сервером требуется только в момент генерации ключей.