A helyzet szerintem a következő. PC-ről/telefonról/stb. volt gyanús (a felhasználói szokásoktól jelentősen eltérő) inband authentikáció, vagy csak egyszerűen megköveteli a Google, hogy webes felületről _is_ be kell jelentkezni x időnként.
Most a Google kérne egy outband auth-hoz címet, ami vagy egy másik mailbox, vagy egy mobiltelefonszám. Én pl. a Yahoo-n már beállítottam, hogy új bejelentkezés esetén jön a telefonomra a push üzenet, hogy loginolni akar valaki valahonnan, engedem-e?
Az meg, hogy ennyire paranoid az illető, hát az az ő baja - gondolom, a böngészőt csak és kizárólag privát módban használja - keresésre pláne - hiszen az is jól eltárolásra kerül...