各文字は、ブラウザの暗号学的に安全な乱数ソースであり、TLSセッションキーにも使われるwindow.crypto.getRandomValuesから生成されます。これはMath.randomよりはるかに強力で、パスワードマネージャーやセキュリティ監査が求めるエントロピーを満たします。

ほとんどのアカウントでは、大文字・小文字・数字・記号を含む16文字のパスワードがあれば、エントロピーは余裕で80ビットを超え、オフラインでの解読にも耐えられます。パスワード管理ツールのマスターパスワードやroot権限の認証情報には24文字以上が望ましく、使い捨てのアカウントならもっと少なくても構いません。

強度は「長さ × log₂（文字プールのサイズ）」で推定され、ビット単位で表されます。約 80 ビットを超えていれば、当面の間はオフラインの総当たり攻撃に対して安全とされます。文字種を減らすと文字プールが小さくなるため、ビット数もそれに応じて低下します。

理論上はあり得ますが、十分な長さがあれば、その確率は天文学的に小さくなります。16文字で複数の文字種を混在させたパスワードには約10^31通りの組み合わせがあり、偶然衝突する確率は、ハードウェア故障の確率よりもはるかに低いのです。

パスワードを手書きで書き写したり電話で読み上げたりする場合は、混同を避けるために「似た文字を除外」（i、l、1、L、o、0、O）を有効にしましょう。パスワードをターミナルやシェルスクリプトに問題なく貼り付ける必要がある場合は、「紛らわしい文字を除外」（{} [] () /\ '"`,;:.）を有効にしましょう。

いいえ。生成はすべてお使いのデバイス上で行われ、直近のパスワードはタブを再読み込みするまでメモリ上にのみ存在します。ネットワークへの送信、ログ記録、キャッシュは一切ありません。