Ogni carattere viene generato da window.crypto.getRandomValues, la sorgente casuale crittograficamente sicura del browser, la stessa utilizzata per le chiavi di sessione TLS. È molto più robusta di Math.random e raggiunge l'entropia richiesta dai gestori di password e dagli audit di sicurezza.

Per la maggior parte degli account, una password di 16 caratteri con maiuscole, minuscole, numeri e simboli supera comodamente gli 80 bit di entropia e resiste al cracking offline. Le password master dei vault e le credenziali root traggono vantaggio da 24+ caratteri; gli account usa e getta possono usarne di meno.

La robustezza è stimata come lunghezza × log₂(dimensione del set di caratteri), espressa in bit. Qualsiasi valore superiore a circa 80 bit è considerato sicuro contro attacchi brute force offline per il prossimo futuro. Rimuovere classi di caratteri riduce il set, quindi il numero di bit cala di conseguenza.

In teoria sì, ma la probabilità è infinitesimamente piccola per qualsiasi lunghezza ragionevole. Una password di 16 caratteri con classi miste ha circa 10^31 valori possibili: la probabilità di una collisione accidentale è di gran lunga inferiore a quella di un guasto hardware.

Attiva "Escludi caratteri simili" (i, l, 1, L, o, 0, O) quando la password verrà trascritta a mano o letta al telefono, per evitare confusioni. Attiva "Escludi caratteri ambigui" ({} [] () /\ '"`,;:.) quando la password deve essere incollata senza problemi in terminali o script shell.

No. La generazione avviene interamente sul tuo dispositivo e le password recenti restano in memoria finché non ricarichi la scheda. Nulla viene inviato in rete, nulla viene registrato e nulla viene memorizzato nella cache.