Hvert tegn hentes fra window.crypto.getRandomValues — nettleserens kryptografisk sikre tilfeldighetskilde, den samme som brukes til TLS-øktnøkler. Det er langt sterkere enn Math.random og samsvarer med entropien som passordbehandlere og sikkerhetsrevisjoner forventer.

For de fleste kontoer overskrider et passord på 16 tegn med store og små bokstaver, tall og symboler trygt 80 bits entropi og motstår offline-knekking. Hovedpassord til passordhvelv og root-tilgang har nytte av 24+ tegn; engangskontoer du bare kaster, klarer seg med færre.

Styrken beregnes som lengde × log₂(antall mulige tegn), uttrykt i bits. Alt over ca. 80 bits regnes som trygt mot offline brute force-angrep i overskuelig fremtid. Å fjerne tegnklasser krymper utvalget, så antallet bits synker tilsvarende.

I teorien ja, men sannsynligheten er astronomisk liten for enhver rimelig lengde. Et passord på 16 tegn med blandede tegnklasser har rundt 10^31 mulige verdier — sjansen for en tilfeldig kollisjon er langt mindre enn sjansen for en maskinvarefeil.

Slå på «Utelat like tegn» (i, l, 1, L, o, 0, O) når passordet skal skrives av for hånd eller leses opp over telefon, for å unngå forvekslinger. Slå på «Utelat tvetydige tegn» ({} [] () /\ '"`,;:.) når passordet må limes rent inn i terminaler eller shell-skript.

Nei. Genereringen skjer helt og holdent på enheten din, og nylige passord ligger i minnet til du laster fanen på nytt. Ingenting sendes over nettverket, ingenting logges og ingenting bufres.