Każdy znak jest pobierany z window.crypto.getRandomValues — kryptograficznie bezpiecznego źródła losowości przeglądarki, tego samego, które jest używane do kluczy sesji TLS. To znacznie silniejsze rozwiązanie niż Math.random i odpowiada entropii oczekiwanej przez menedżery haseł oraz audyty bezpieczeństwa.

Dla większości kont 16-znakowe hasło z wielkimi i małymi literami, cyframi oraz symbolami z zapasem przekracza 80 bitów entropii i jest odporne na łamanie offline. Hasła główne do sejfów i poświadczenia administratora warto wydłużyć do 24+ znaków; jednorazowe konta tymczasowe mogą mieć ich mniej.

Siła jest szacowana jako długość × log₂(rozmiar puli znaków), wyrażona w bitach. Wszystko powyżej ~80 bitów uznaje się za bezpieczne przed atakiem siłowym offline w dającej się przewidzieć przyszłości. Usunięcie klas znaków zmniejsza pulę, więc liczba bitów odpowiednio spada.

W teorii tak, ale prawdopodobieństwo jest astronomicznie małe dla dowolnej rozsądnej długości. Hasło 16-znakowe z różnych klas znaków ma około 10^31 możliwych wartości — szansa na przypadkową kolizję jest znacznie mniejsza niż szansa na awarię sprzętu.

Włącz opcję „Wyklucz podobne” (i, l, 1, L, o, 0, O), gdy hasło będzie przepisywane ręcznie lub odczytywane przez telefon, aby uniknąć pomyłek. Włącz opcję „Wyklucz niejednoznaczne” ({} [] () /\ '"`,;:.), gdy hasło musi czysto wklejać się do terminali lub skryptów powłoki.

Nie. Generowanie odbywa się w całości na Twoim urządzeniu, a ostatnie hasła pozostają w pamięci do momentu odświeżenia karty. Nic nie jest przesyłane przez sieć, nic nie jest rejestrowane i nic nie jest buforowane.