Password Generator

Every character is picked with the browser's crypto.getRandomValues, the same primitive web standards use for TLS keys and login tokens. Math.random is never touched — its output is predictable enough that attackers have broken games and lottery systems built on it.

ブラウザ標準の crypto.getRandomValues を使って 1 文字ずつ選んでいます。これは TLS の鍵生成やログイントークンと同じ仕組みで、観測から次の値を予測する手段が知られていません。Math.random は使いません。あちらは前の値から先読みされる事例が報告されています。

Servers see whatever they receive. Even with TLS, the operator can log the response, store it, or hand it to a third party under subpoena. Here the password is built inside the page you already have open, then sits in your tab until you close it. Nothing is uploaded.

サーバーで作った場合、運営者はその値を見られます。TLS で経路は守られても、サーバー側でログに残したり保存したりできます。このツールは表示中のページの中だけで生成し、タブを閉じれば消えます。一切アップロードしません。

16 characters with all four character types gives you about 104 bits of entropy — well past the point where brute force stops being practical. For a master password protecting a vault, 20 or more is a reasonable jump. Below 12 is shaky for anything important.

4 種類の文字を使い 16 文字あれば、エントロピーはおよそ 104 ビット。総当たり攻撃が現実的でなくなる範囲です。パスワードマネージャーのマスターパスワードなら 20 文字以上を検討してください。重要な用途で 12 文字未満は心許ない場合があります。

Some services still cap length or block specific characters like spaces, quotes, or backslashes. Turn the symbols toggle off and bump the length up by a few characters — the entropy you lose from a smaller pool is recovered by adding more characters.

古いサービスでは長さに上限があったり、スペースや引用符など一部の記号を弾く場合があります。記号トグルを外して長さを数文字伸ばしてください。文字種が減って失うエントロピーは、長さで補えます。

No. The history list is held in memory only — closing the tab or reloading the page erases it. Nothing is written to localStorage, sent to an analytics endpoint, or saved to a server. Even the copy event we log carries the length and which character types you picked, never the password itself.

保存しません。履歴はメモリ上だけに保持され、タブを閉じるかリロードすると消えます。localStorage にも書きません。分析にも送りません。コピー時に記録するイベントには「長さ」と「選んだ文字種の設定」だけが含まれ、パスワード本体は一切載せません。