Elk teken wordt getrokken uit window.crypto.getRandomValues — de cryptografisch veilige willekeurige bron van de browser, dezelfde die wordt gebruikt voor TLS-sessiesleutels. Dat is veel sterker dan Math.random en komt overeen met de entropie die wachtwoordmanagers en beveiligingsaudits verwachten.

Voor de meeste accounts overschrijdt een wachtwoord van 16 tekens met hoofdletters, kleine letters, cijfers en symbolen ruim de 80 bits aan entropie en is het bestand tegen offline kraken. Hoofdwachtwoorden van kluizen en root-inloggegevens hebben baat bij 24+ tekens; wegwerpaccounts kunnen er minder gebruiken.

De sterkte wordt geschat als lengte × log₂(grootte van de tekenpool), uitgedrukt in bits. Alles boven ~80 bits wordt voorlopig als veilig beschouwd tegen offline brute force. Het verwijderen van tekenklassen verkleint de pool, waardoor het aantal bits navenant daalt.

In theorie wel, maar de kans is astronomisch klein bij elke redelijke lengte. Een wachtwoord van 16 tekens met gemengde tekensoorten heeft ongeveer 10^31 mogelijke waarden — de kans op een toevallige botsing is veel kleiner dan de kans op een hardwarestoring.

Schakel "Vergelijkbare uitsluiten" (i, l, 1, L, o, 0, O) in wanneer het wachtwoord met de hand wordt overgeschreven of telefonisch wordt doorgegeven, om verwarring te voorkomen. Schakel "Dubbelzinnige uitsluiten" ({} [] () /\ '"`,;:.) in wanneer het wachtwoord schoon moet plakken in terminals of shellscripts.

Nee. Het genereren gebeurt volledig op je apparaat en recente wachtwoorden blijven in het geheugen tot je het tabblad opnieuw laadt. Er wordt niets over het netwerk verzonden, niets gelogd en niets in de cache opgeslagen.