OktoPass использует для генерации устойчивых паролей современный интерфейс Web Crypto API на стороне клиента.
Если клиентский браузер не поддерживает такую возможность, то пароль генерируется на стороне сервера с помощью генератора криптографически безопасных случайных чисел.
Читайте статью про приложение и методы генерации в этой статье.