पासवर्ड जेनरेटर रैंडम, अप्रत्याशित पासवर्ड बनाने का एक उपकरण है। मानव द्वारा डिज़ाइन किए गए पासवर्ड के विपरीत, एक वास्तविक पासवर्ड जेनरेटर निर्दिष्ट वर्ण पूल से वर्णों को रैंडम रूप से चुनने के लिए **क्रिप्टोग्राफ़िक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर (CSPRNG)** का उपयोग करता है, जो मानव द्वारा पासवर्ड सेट करते समय अंतर्निहित पूर्वानुमानित पैटर्न (नाम+जन्मदिन, कीबोर्ड पर लगातार कुंजियाँ जैसे qwerty, कंपनी का नाम+वर्ष आदि) से बचता है, जिससे क्रेडेंशियल स्टफिंग, डिक्शनरी हमले और ब्रूट फोर्स क्रैकिंग का जोखिम काफी कम हो जाता है।
**Math.random() का उपयोग क्यों नहीं कर सकते**: सामान्य छद्म यादृच्छिक संख्या जनरेटर की आंतरिक स्थिति को थोड़े से आउटपुट से पूर्वानुमान लगाया जा सकता है, हमलावर बाद में बनने वाले «रैंडम» नंबरों की भविष्यवाणी कर सकते हैं। यह टूल ब्राउज़र के Web Crypto API के crypto.getRandomValues() का उपयोग करता है, जो ऑपरेटिंग सिस्टम स्तर के CSPRNG (जैसे Linux का getrandom, macOS का SecRandomCopyBytes, Windows का BCryptGenRandom) को कॉल करता है, उत्पन्न रैंडम नंबर क्रिप्टोग्राफ़िक रैंडमनेस परीक्षण पास करते हैं, अप्रत्याशित होते हैं।
**पासवर्ड शक्ति का मूल एन्ट्रॉपी है**: एन्ट्रॉपी = log₂(वर्ण पूल आकार^पासवर्ड लंबाई), इकाई bit है। उदाहरण के लिए 94 प्रिंट करने योग्य ASCII वर्णों से रैंडम रूप से चुने गए 16 अक्षर के पासवर्ड की एन्ट्रॉपी लगभग 104 bit होती है, जिसका अर्थ है कि हमलावर को सही पासवर्ड खोजने के लिए औसतन 2¹⁰³ बार प्रयास करने होंगे — यहां तक कि प्रति सेकंड 1 ट्रिलियन बार प्रयास करने पर भी लगभग 200 अरब वर्ष लगेंगे।
**याद रखने योग्य पासफ्रेज (Passphrase)**: कई रैंडम रूप से चुने गए शब्दों से मिलकर बनता है (जैसे Brave-Cloud-Star42), हालांकि रैंडम पासवर्ड की तुलना में «सरल» दिखता है, लेकिन यदि शब्द वास्तव में रैंडम रूप से चुने जाते हैं, तो कुल एन्ट्रॉपी 60 bit से अधिक पहुंच सकती है, जो अधिकांश परिदृश्यों के लिए पर्याप्त सुरक्षित है, और समान शक्ति वाले रैंडम पासवर्ड की तुलना में याद रखना बहुत आसान है। यह XKCD #936 क्लासिक कॉमिक और Diceware पद्धति का मुख्य विचार भी है।
**सभी पासवर्ड ब्राउज़र में स्थानीय रूप से बनते हैं**, किसी भी सर्वर पर नहीं भेजे जाते। टूल साथ ही शक्ति जांच प्रदान करता है: एन्ट्रॉपी गणना, ब्रूट फोर्स क्रैक समय अनुमान, कमजोर पासवर्ड पैटर्न का पता लगाना (दोहराए गए अक्षर, लगातार संख्याएं/अक्षर, सामान्य कमजोर पासवर्ड से मिलान), जो आपको बनाए गए पासवर्ड की वास्तविक सुरक्षा शक्ति को समझने में मदद करता है।