Eles podem e não podem depender do computador. Normalmente, é um algoritmo pseudo-aleatório. Um dos primeiros algoritmos foi basicamente apenas executar uma série de aritmética básica (multiplicar, dividir, adicionar, subtrair, módulo) em um número chamado de semente, e pegar os números do meio, ou algo assim. Os números parecem aleatórios, mas depois de um certo número de tentativas, o mesmo ciclo se repetirá.
O que significa que eles não podem usar um PRNG para criptografar sua senha. Os PRNGs costumam usar a hora do sistema como semente, portanto, se o atacante souber o tempo aproximado em que sua senha foi criptografada (tempo de criação da conta, tempo de alteração da senha), ele poderá gerar uma pequena variedade de senhas usando esse intervalo de tempo gerou senhas em vez de gerar todas as combinações possíveis permitidas.
Se você já visitou www.random.org, provavelmente verá que eles geram números verdadeiramente aleatórios. Isso porque eles usam dispositivos para coletar ruído atmosférico, ou algum tipo de ruído atmosférico, e usam isso.
Não sou especialista nisso, mas acho que alguns sistemas operacionais também podem coletar dados das movimentações do mouse e do teclado do usuário junto com um PRNG para gerar números seguros o suficiente para criptografar senhas com