Cada carácter se obtiene de window.crypto.getRandomValues, la fuente aleatoria criptográficamente segura del navegador, la misma que se usa para las claves de sesión TLS. Eso es mucho más robusto que Math.random y se ajusta a la entropía que esperan los gestores de contraseñas y las auditorías de seguridad.

Para la mayoría de las cuentas, una contraseña de 16 caracteres con mayúsculas, minúsculas, números y símbolos supera con holgura los 80 bits de entropía y resiste el descifrado sin conexión. Las contraseñas maestras de gestores y las credenciales de administrador se benefician de 24 caracteres o más; las cuentas desechables pueden usar menos.

La seguridad se estima como longitud × log₂(tamaño del conjunto de caracteres), expresada en bits. Cualquier valor superior a ~80 bits se considera seguro frente a ataques de fuerza bruta sin conexión en el futuro previsible. Quitar clases de caracteres reduce el conjunto, por lo que el número de bits disminuye en consecuencia.

En teoría sí, pero la probabilidad es astronómicamente pequeña para cualquier longitud razonable. Una contraseña de 16 caracteres con varios tipos de símbolos tiene aproximadamente 10^31 valores posibles: la probabilidad de una colisión accidental es mucho menor que la de un fallo de hardware.

Activa «Excluir similares» (i, l, 1, L, o, 0, O) cuando la contraseña vaya a transcribirse a mano o a leerse por teléfono, para evitar confusiones. Activa «Excluir ambiguos» ({} [] () /\ '"`,;:.) cuando la contraseña deba pegarse sin problemas en terminales o scripts de shell.

No. La generación ocurre por completo en tu dispositivo y las contraseñas recientes permanecen en memoria hasta que recargas la pestaña. No se envía nada por la red, no se registra nada y no se almacena nada en caché.