Un generador de contrasenyes és una eina per generar contrasenyes aleatòries i impredictibles. A diferència de les contrasenyes dissenyades per humans, un generador de contrasenyes autèntic utilitza un **Generador de Nombres Pseudoaleatoris Segur Criptogràficament (CSPRNG)** per seleccionar caràcters aleatòriament del conjunt de caràcters especificat, evitant els patrons predictibles inherents quan els humans posen contrasenyes (nom+aniversari, tecles contigües del teclat com qwerty, nom de l'empresa+any, etc.), reduint així significativament el risc d'atacs de farciment de credencials, atacs de diccionari i desxifrat per força bruta.
**Per què no es pot utilitzar Math.random()**: L'estat intern dels generadors de nombres pseudoaleatoris comuns es pot deduir inversament a partir d'una petita quantitat de sortides, els atacants poden predir els nombres «aleatoris» generats posteriorment. Aquesta eina utilitza crypto.getRandomValues() del Web Crypto API del navegador, que crida a baix nivell CSPRNG a nivell de sistema operatiu (com getrandom de Linux, SecRandomCopyBytes de macOS, BCryptGenRandom de Windows), els nombres aleatoris generats passen proves d'aleatorietat criptogràfica i són impredictibles.
**El nucli de la força de la contrasenya és l'entropia**: Entropia = log₂(mida del conjunt de caràcters^longitud de la contrasenya), la unitat és el bit. Per exemple, una contrasenya de 16 caràcters seleccionada aleatòriament de 94 caràcters ASCII imprimibles té una entropia d'uns 104 bit, el que significa que un atacant necessita de mitjana 2¹⁰³ intents per trobar la contrasenya correcta — fins i tot provant 1 bilió de vegades per segon, caldrien uns 200 mil milions d'anys.
**Frase de contrasenya fàcil de recordar (Passphrase)**: Formada per diverses paraules seleccionades aleatòriament (com Brave-Cloud-Star42), encara que sembli «més simple» que una contrasenya aleatòria, si les paraules són seleccionades aleatòriament de veritat, l'entropia total pot arribar a més de 60 bit, prou segura per a la majoria d'escenaris, i molt més fàcil de recordar que una contrasenya aleatòria de força equivalent. Aquesta és també la idea central del còmic clàssic XKCD #936 i del mètode Diceware.
**Totes les contrasenyes es generen localment al navegador**, no s'enviïn a cap servidor. L'eina també proporciona detecció de força: càlcul d'entropia, estimació de temps de desxifrat per força bruta, detecció de patrons de contrasenyes febles (caràcters repetits, números/lletres contigus, coincidència amb contrasenyes febles comunes), ajudant-vos a entendre la força de seguretat real de les contrasenyes generades.