Varje tecken hämtas från window.crypto.getRandomValues — webbläsarens kryptografiskt säkra slumpkälla, samma som används för TLS-sessionsnycklar. Det är betydligt starkare än Math.random och motsvarar den entropi som lösenordshanterare och säkerhetsgranskningar förväntar sig.

För de flesta konton överstiger ett 16-teckens lösenord med versaler, gemener, siffror och symboler med god marginal 80 bitars entropi och står emot offline-knäckning. Huvudlösenord till valv och root-uppgifter vinner på 24+ tecken; tillfälliga engångskonton klarar sig med färre.

Styrkan beräknas som längd × log₂(teckenpoolens storlek), uttryckt i bitar. Allt över ~80 bitar anses säkert mot offline-brute force inom överskådlig framtid. Att ta bort teckenklasser krymper poolen, så bitantalet sjunker i motsvarande grad.

I teorin ja, men sannolikheten är astronomiskt liten för alla rimliga längder. Ett lösenord på 16 tecken med blandade teckenklasser har ungefär 10^31 möjliga värden — risken för en oavsiktlig kollision är långt mindre än risken för ett hårdvarufel.

Aktivera ”Uteslut liknande” (i, l, 1, L, o, 0, O) när lösenordet ska skrivas av för hand eller läsas upp i telefon, för att undvika förväxlingar. Aktivera ”Uteslut tvetydiga” ({} [] () /\ '"`,;:.) när lösenordet måste klistras in rent i terminaler eller skalskript.

Nej. Genereringen sker helt och hållet på din enhet och de senaste lösenorden finns i minnet tills du laddar om fliken. Ingenting skickas över nätverket, ingenting loggas och ingenting cachas.