Pembuat kata sandi adalah alat untuk menghasilkan kata sandi acak yang tidak dapat diprediksi. Berbeda dengan kata sandi yang dirancang manusia, pembuat kata sandi sejati menggunakan **Generator Angka Pseudorandom Aman Kriptografis (CSPRNG)** untuk memilih karakter secara acak dari kumpulan karakter yang ditentukan, menghindari pola yang dapat diprediksi yang melekat saat manusia membuat kata sandi (nama+tanggal lahir, tombol berurutan di keyboard seperti qwerty, nama perusahaan+tahun, dll.), sehingga secara signifikan mengurangi risiko serangan credential stuffing, serangan kamus, dan brute force.
**Mengapa tidak bisa menggunakan Math.random()**: Status internal generator angka pseudorandom biasa dapat ditebak mundur dari sejumlah kecil output, penyerang dapat memprediksi angka «acak» yang dihasilkan selanjutnya. Alat ini menggunakan crypto.getRandomValues() dari Web Crypto API browser, yang pada dasarnya memanggil CSPRNG tingkat sistem operasi (seperti getrandom Linux, SecRandomCopyBytes macOS, BCryptGenRandom Windows), angka acak yang dihasilkan lulus uji keacakan kriptografis, tidak dapat diprediksi.
**Inti kekuatan kata sandi adalah entropi**: Entropi = log₂(ukuran kumpulan karakter^panjang kata sandi), satuannya bit. Misalnya kata sandi 16 karakter dipilih secara acak dari 94 karakter ASCII yang dapat dicetak, entropinya sekitar 104 bit, berarti penyerang rata-rata perlu mencoba 2¹⁰³ kali untuk menemukan kata sandi yang benar — bahkan jika mencoba 1 triliun kali per detik, itu membutuhkan sekitar 200 miliar tahun.
**Frasa sandi mudah diingat (Passphrase)**: Terdiri dari beberapa kata yang dipilih secara acak (seperti Brave-Cloud-Star42), meskipun terlihat «lebih sederhana» daripada kata sandi acak, tetapi jika kata-kata dipilih secara acak nyata, entropi total dapat mencapai di atas 60 bit, cukup aman untuk sebagian besar skenario, dan jauh lebih mudah diingat daripada kata sandi acak dengan kekuatan yang sama. Ini juga merupakan ide inti dari komik klasik XKCD #936 dan metode Diceware.
**Semua kata sandi dibuat secara lokal di browser**, tidak dikirim ke server mana pun. Alat ini juga menyediakan deteksi kekuatan: perhitungan entropi, estimasi waktu peretasan brute force, deteksi pola kata sandi lemah (karakter berulang, angka/huruf berurutan, pencocokan dengan kata sandi lemah umum), membantu Anda memahami kekuatan keamanan sebenarnya dari kata sandi yang dihasilkan.