railsでdeviseのconfirmableを使ってアカウントのメール認証機能を実装しようとしています。

ブラウザから、gmailアカウントAの設定で、二段階認証をオンにし、アプリパスワードを作成しました。
その後、

rails
1config.action_mailer.default_url_options = { host: 'localhost', port: 3000 }
2  config.action_mailer.raise_delivery_errors = true
3  config.action_mailer.delivery_method = :smtp
4  config.action_mailer.smtp_settings = {
5    :address => "smtp.gmail.com",
6    :port => 587,
7    :user_name => "gmailアカウントAアドレス",
8    :password =>  "アプリパスワード",
9    :authentication => :plain,
10    :enable_starttls_auto => true
11  }

をdevelopment.rbに記述しました。

これにより、アプリがgmailアカウントAにログインできるようになり、サインアップするアカウントにgmailアカウントAからメールを送ることができたのですが、試しに上記のコードのuser_nameをgmailアカウントBアドレスに変更してみたところ、

不審なアプリによるアカウントへのアクセスをブロックしました

Google 以外のアプリから誰かがあなたのアカウントにログインしようとしましたが、ブロックされました。心当たりがない場合は、誰かにパスワードを知られています。パスワードを今すぐ変更してください。

という通知がアカウントBに来ました。アカウントBの設定を変えればログインできてしまう、ということだと思います。

ここで質問です。アプリパスワードはデバイスごとに設定できる、ということらしいですが、アプリパスワードを設定した際に使ったデバイスでログインしている（またはしたことのある）アカウントには全てアクセスできるということでしょうか。もしくは世界中全てのアカウントにアクセスできてしまうのでしょうか。アプリパスワードについて詳しい方、違うアカウントにもアクセスできてしまう挙動についてわかりやすく教えていただきたいです。