OktoPass использует для генерации устойчивых паролей современный интерфейс Web Crypto API на стороне клиента.

Если клиентский браузер не поддерживает такую возможность, то пароль генерируется на стороне сервера с помощью генератора криптографически безопасных случайных чисел.

Читайте статью про приложение и методы генерации в этой статье.