Ebben igazad van. Valójában én egy percig sem feltételeztem, hogy közvetlenül a jelszavamat használják a titkosításra. Képezhetnek belőle egy hasht, amit már eltárolnak, így jelszócserekor (reset alkalmával, elnézést) elérhető.
Persze mondhatod azt, hogy felvet ez is biztonsági kérdést, de a felvetésed az volt, hogy a guglinak megvannak cleartextben ezek az adatok, én pedig nem gondolnám, hogy nem alkalmaznak valami féle titkosítást ami elrejti az összes adatot, és lényegében csak azok a folyamatok férnek hozzá, amik kiszolgálják az adatokat az user felé. Nekik nem érdekük hogy egy esetleges betörés esetén kiderüljön ilyesmi, az az érdekük, hogy meg tudják mondani, hogy mindezek ellenére az adatok biztonságban voltak.
Az adatokat pedig nem a google-től kell félteni, hanem másoktól, akik hozzáférnek valahogy.