يُستمد كل حرف من window.crypto.getRandomValues — مصدر التوليد العشوائي الآمن تشفيريًا في المتصفح، وهو نفسه المستخدم لمفاتيح جلسات TLS. هذا أقوى بكثير من Math.random ويطابق درجة العشوائية التي تتوقعها مديرو كلمات المرور وعمليات التدقيق الأمني.

بالنسبة لمعظم الحسابات، تتجاوز كلمة مرور مكوّنة من 16 حرفًا تحتوي على أحرف كبيرة وصغيرة وأرقام ورموز عتبة 80 بت من العشوائية بسهولة وتقاوم الاختراق دون اتصال. تستفيد كلمات المرور الرئيسية للخزائن وبيانات اعتماد الجذر من 24 حرفًا فأكثر؛ أما الحسابات المؤقتة سريعة الاستخدام فيمكنها استخدام عدد أقل.

تُقدَّر القوة بالمعادلة الطول × log₂(حجم مجموعة الأحرف)، ويُعبَّر عنها بالبتات. وأي قيمة تتجاوز ~80 بت تُعدّ آمنة ضد هجمات القوة الغاشمة دون اتصال في المستقبل المنظور. ويؤدي إزالة فئات الأحرف إلى تقليص المجموعة، فينخفض عدد البتات تبعًا لذلك.

نظريًا نعم، لكن الاحتمال ضئيل إلى حدّ فلكي لأي طول معقول. فكلمة مرور من 16 حرفًا مختلطة الفئات تمتلك نحو 10^31 قيمة محتملة — واحتمال التصادم العرضي أصغر بكثير من احتمال حدوث عطل في العتاد.

فعّل خيار «استبعاد المتشابهة» (i, l, 1, L, o, 0, O) عندما تُكتب كلمة المرور يدويًا أو تُقرأ عبر الهاتف لتجنّب اللبس. فعّل خيار «استبعاد الملتبسة» ({} [] () /\ '"`,;:.) عندما يجب لصق كلمة المرور بشكل سليم في الطرفيات (terminals) أو نصوص الأوامر البرمجية (shell scripts).

لا. يتم التوليد بالكامل على جهازك، وتبقى كلمات المرور الأخيرة في الذاكرة حتى تُعيد تحميل التبويب. لا يُرسَل شيء عبر الشبكة ولا يُسجَّل شيء ولا يُخزَّن شيء مؤقتًا.