Mỗi ký tự được lấy từ window.crypto.getRandomValues — nguồn ngẫu nhiên an toàn về mặt mật mã của trình duyệt, chính là nguồn được dùng cho khóa phiên TLS. Đây là nguồn mạnh hơn nhiều so với Math.random và đáp ứng mức độ entropy mà các trình quản lý mật khẩu cùng các cuộc kiểm toán bảo mật mong đợi.

Với hầu hết tài khoản, mật khẩu 16 ký tự gồm chữ hoa, chữ thường, số và ký hiệu thừa sức vượt quá 80 bit entropy và chống lại việc bẻ khóa ngoại tuyến. Mật khẩu chính của két lưu trữ và thông tin đăng nhập root nên dùng từ 24 ký tự trở lên; còn các tài khoản dùng một lần thì có thể dùng ít hơn.

Độ mạnh được ước tính theo công thức độ dài × log₂(kích thước tập ký tự), tính bằng bit. Bất kỳ giá trị nào trên ~80 bit được xem là an toàn trước tấn công vét cạn ngoại tuyến trong tương lai gần. Loại bỏ các lớp ký tự sẽ thu nhỏ tập ký tự, nên số bit cũng giảm theo.

Về lý thuyết thì có, nhưng xác suất nhỏ đến mức gần như không tưởng với bất kỳ độ dài hợp lý nào. Một mật khẩu 16 ký tự kết hợp nhiều loại có khoảng 10^31 giá trị khả dĩ — khả năng trùng lặp ngẫu nhiên còn nhỏ hơn nhiều so với khả năng hỏng phần cứng.

Bật "Loại trừ ký tự giống nhau" (i, l, 1, L, o, 0, O) khi mật khẩu sẽ được chép tay hoặc đọc qua điện thoại để tránh nhầm lẫn. Bật "Loại trừ ký tự dễ gây mơ hồ" ({} [] () /\ '"`,;:.) khi mật khẩu cần được dán gọn gàng vào cửa sổ dòng lệnh hoặc tập lệnh shell.

Không. Việc tạo mật khẩu diễn ra hoàn toàn trên thiết bị của bạn và các mật khẩu vừa tạo chỉ tồn tại trong bộ nhớ cho đến khi bạn tải lại tab. Không có gì được gửi qua mạng, không có gì được ghi lại và không có gì được lưu vào bộ nhớ đệm.