Jedes Zeichen stammt aus window.crypto.getRandomValues – der kryptografisch sicheren Zufallsquelle des Browsers, derselben, die auch für TLS-Sitzungsschlüssel verwendet wird. Das ist weitaus stärker als Math.random und entspricht der Entropie, die Passwort-Manager und Sicherheitsaudits erwarten.

Für die meisten Konten überschreitet ein 16 Zeichen langes Passwort mit Groß- und Kleinbuchstaben, Zahlen und Symbolen mühelos 80 Bit Entropie und widersteht Offline-Cracking. Master-Passwörter für Passwort-Tresore und Root-Zugangsdaten profitieren von 24+ Zeichen; für Wegwerf-Konten reichen weniger.

Die Stärke wird als Länge × log₂(Größe des Zeichenvorrats) geschätzt und in Bit ausgedrückt. Alles über ~80 Bit gilt auf absehbare Zeit als sicher gegen Offline-Brute-Force-Angriffe. Das Entfernen von Zeichenklassen verkleinert den Vorrat, sodass die Bitzahl entsprechend sinkt.

Theoretisch ja, doch die Wahrscheinlichkeit ist bei jeder sinnvollen Länge astronomisch gering. Ein 16-stelliges Passwort mit gemischten Zeichenklassen hat rund 10^31 mögliche Werte – die Chance einer zufälligen Kollision ist weitaus kleiner als die eines Hardwarefehlers.

Aktivieren Sie „Ähnliche ausschließen“ (i, l, 1, L, o, 0, O), wenn das Passwort von Hand abgeschrieben oder am Telefon vorgelesen wird, um Verwechslungen zu vermeiden. Aktivieren Sie „Mehrdeutige ausschließen“ ({} [] () /\ '"`,;:.), wenn das Passwort sauber in Terminals oder Shell-Skripte eingefügt werden muss.

Nein. Die Generierung erfolgt vollständig auf Ihrem Gerät, und die zuletzt erzeugten Passwörter bleiben nur im Arbeitsspeicher, bis Sie den Tab neu laden. Nichts wird über das Netzwerk gesendet, nichts protokolliert und nichts zwischengespeichert.