Password Generator

Нет. Пароли генерируются с использованием crypto.getRandomValues() полностью в вашем браузере. Они никогда не отправляются на сервер, не регистрируются и исчезают, когда вы закрываете или обновляете страницу. Откройте вкладку Сеть в браузере во время генерации, и вы не увидите ни одного исходящего запроса.

NIST SP 800-63B устанавливает минимальную длину в 8 символов. Специалисты по безопасности рекомендуют как минимум 16 символов для большинства аккаунтов и 20 или более для аккаунтов с высокой ценностью (электронная почта, банковские счета, мастер-пароль менеджера паролей). При наборе из 94 символов 16-символьный пароль имеет ~105 бит энтропии - его невозможно взломать с помощью брутфорса на современном или ближайшем оборудовании.

Да, если это позволяет сервис. Включение символов увеличивает набор символов с 62 до 94 символов, добавляя примерно 0.66 бит энтропии на каждый символ. Более 16 символов это примерно 10.5 дополнительных бит. Большая выгода все же заключается в длине: 20-символьный пароль из букв и цифр сильнее, чем 12-символьный пароль со всеми символами.

Случайный пароль - это строка случайных символов, оптимизированная для максимальной энтропии при минимальной длине. Парольная фраза - это последовательность случайных слов (например, correct-horse-battery-staple), которая жертвует длиной ради запоминаемости. Парольная фраза из 5 слов (список слов из 7,776 слов) имеет ~65 бит энтропии. Для записей менеджера паролей используйте случайные пароли. Для мастер-пароля используйте парольную фразу, которую вы можете запомнить.

Для Wi-Fi (WPA2/WPA3) случайный 20-символьный пароль со всеми типами символов является отличным - просто сохраните его перед тем, как вводить на устройствах. Для SSH-ключей и API-токенов используйте специальные команды генерации (ssh-keygen, процесс создания токена вашего API-поставщика), а не ручную генерацию пароля.