Setiap karakter diambil dari window.crypto.getRandomValues — sumber acak yang aman secara kriptografis pada peramban, sumber yang sama yang digunakan untuk kunci sesi TLS. Itu jauh lebih kuat daripada Math.random dan setara dengan entropi yang diharapkan oleh pengelola kata sandi dan audit keamanan.

Untuk sebagian besar akun, kata sandi 16 karakter dengan huruf besar, huruf kecil, angka, dan simbol dengan nyaman melampaui 80 bit entropi dan tahan terhadap peretasan offline. Kata sandi master brankas dan kredensial root mendapat manfaat dari 24+ karakter; akun sekali pakai dapat menggunakan lebih sedikit.

Kekuatan diperkirakan sebagai panjang × log₂(ukuran kumpulan karakter), dinyatakan dalam bit. Apa pun di atas ~80 bit dianggap aman terhadap serangan brute force offline untuk waktu yang lama ke depan. Menghapus kelas karakter memperkecil kumpulan, sehingga jumlah bit menurun sesuai dengan itu.

Secara teori ya, tetapi probabilitasnya sangat kecil untuk panjang yang wajar. Kata sandi 16 karakter campuran memiliki sekitar 10^31 nilai yang mungkin — peluang tabrakan yang tidak disengaja jauh lebih kecil daripada peluang kegagalan perangkat keras.

Aktifkan "Kecualikan yang mirip" (i, l, 1, L, o, 0, O) saat kata sandi akan disalin dengan tangan atau dibacakan melalui telepon untuk menghindari kekeliruan. Aktifkan "Kecualikan yang ambigu" ({} [] () /\ '"`,;:.) saat kata sandi harus ditempelkan dengan rapi ke terminal atau skrip shell.

Tidak. Pembuatan sepenuhnya terjadi di perangkat Anda, dan kata sandi terbaru hanya tersimpan di memori sampai Anda memuat ulang tab. Tidak ada yang dikirim melalui jaringan, tidak ada yang dicatat, dan tidak ada yang disimpan di cache.