One ledger, eight identities
Every sensitive field encrypted with AES-256-GCM, with its own random IV.
Vaše hesla, vaše kontrola.
Zabezpečte svá hesla, přístupové klíče, 2FA a platební karty šifrováním AES-256-GCM. Místní úložiště, volitelná synchronizace iCloud.
Built on modern iOS primitives
Jeden záznamník, jen tvůj. Žádná třetí kopie, nikde.
Není to „aplikace na hesla“ — je to šifrovaný záznamník, který sjednocuje každou digitální identitu na jednom místě. Všech osm typů položek prochází stejným pipeline šifrování na úrovni polí.
No second app needed
Scan to save. AutoFill fills the 6-digit code along with the password.
A strong one, in a second
Random string or EFF wordlist phrase. Live entropy meter.
FIDO2 / WebAuthn
Generated and stored locally. Private key never leaves the device in plaintext.
HIBP · k-anonymity
Only the first 5 chars of the SHA-1 hash leave the device. Your password never does.
Safari · apps · keyboard — one step
System-level AutoFill extension. Face ID confirms; codes get filled in too.
End-to-end · optional
Routed via Apple's private CloudKit. Sensitive fields are encrypted on-device before upload — only ciphertext reaches the server. Toggle off anytime to go fully local.
Yours to keep, anytime
1Password · Bitwarden · LastPass · KeePass · Dashlane · Apple Keychain. Three export formats: JSON / CSV (plaintext) + encrypted .bytegx.
Edited wrong? Deleted by accident? Recoverable.
Every password change saves the previous value — up to 5 history versions kept, one-tap rollback. Deleted items go to a recycle bin and clear after the retention window.
Clipboard counts down. App locks itself.
Pasteboard auto-clears after a configurable delay; foreground / background auto-lock timers can be set separately.
Tap from the lock screen, password's there
Two widgets: quick vault access + on-the-fly password generator.
Tři věci, na kterých jsem odmítl slevit
Vestavěný TOTP, bezpečnostní audit na zařízení a Passkeys — tři místa, kde ByteGuard nejjasněji předčí běžné správce hesel.
Codes, without juggling two apps.
Scan to save — every 2FA in one place. The detail page shows the live code with a countdown ring; long-press to copy. With AutoFill, the code goes in along with username and password.
- RFC 6238 TOTP, 6/8 digits · SHA-1 / 256 / 512 HMAC
- iCloud cross-device sync (E2E encrypted, Premium)
- Three export formats: JSON / CSV (plaintext) + encrypted .bytegx
You can only fix what you can see.
Backed by Have I Been Pwned with the k-anonymity protocol — only the first 5 chars of the SHA-1 hash ever leave the device. Every weakness comes with a concrete next step.
- Detects leaked / weak / reused / outdated
- HIBP k-anonymity (SHA-1 prefix-5); plaintext never sent
- One tap jumps to the entry to replace
Private keys never leave the device.
WebAuthn / FIDO2 standard. ES256 (ECDSA P-256, COSE alg -7). Private keys are AES-256-GCM encrypted with the Item Key — plaintext never written to disk. AutoFillExtension handles registration and assertion via the Apple system bridge.
- ES256 (ECDSA P-256, COSE -7)
- AutoFill Extension handles registration + assertion
- iCloud E2E encrypted sync (Premium)
Takhle to opravdu vypadá
Deset obrazovek v pořadí scénářů — celá aplikace krok za krokem. Bez marketingových frází.
Every digital identity, in one place.
Top 10 / All / Favorites / Logins multi-view; live filtered search. All eight DataType cases run the full field-level encryption pipeline — not a 'password app', but a digital-identity ledger.
- 8 types: login / card / API key / identity / note / license / passkey / OAuth token
- Each entry gets its own AES-256-GCM key; plaintext never leaves the device
- Local-first; optional iCloud end-to-end encrypted sync
Codes, without juggling two apps.
Scan to save — every 2FA in one place. The detail page shows the live code with a countdown ring; long-press to copy. With AutoFill, the code goes in along with username and password.
- RFC 6238 TOTP, 6/8 digits · SHA-1 / 256 / 512 HMAC
- iCloud cross-device sync (E2E encrypted, Premium)
- Three export formats: JSON / CSV (plaintext) + encrypted .bytegx
One entry — every field at once.
Login detail: username, password, history, linked TOTP, website, custom fields. Each sensitive field independently decrypted with its own IV, shown only on demand. Copy auto-clears the clipboard.
- Each sensitive field independently AES-256-GCM encrypted with its own IV
- TOTP / Passkey two-way linking shown together
- Copy auto-clears clipboard (5 presets)
Made a typo? Deleted by mistake? Recoverable.
Every change saves the previous value (spec:R3 — up to 5 versions kept); tap the timeline to restore. Deleted items are retained for 90 days before permanent removal.
- Up to 5 history versions kept
- Four source markers: manual / AutoFill / imported / sync
- Deleted items retained 90 days
You can only fix what you can see.
Backed by Have I Been Pwned with the k-anonymity protocol — only the first 5 chars of the SHA-1 hash ever leave the device. Every weakness comes with a concrete next step.
- Detects leaked / weak / reused / outdated
- HIBP k-anonymity (SHA-1 prefix-5); plaintext never sent
- One tap jumps to the entry to replace
A strong one — in one second.
Random (4-64 chars / exclude look-alikes / digits-only for PIN) or EFF passphrase, with live entropy meter. Replaces the old value and records the change in history.
- Two modes: random (incl. PIN) + EFF passphrase
- Apple system CSPRNG (Swift Int.random + SecRandomCopyBytes)
- Live entropy meter and strength indicator
Tap in Safari, and the password fills itself.
AutoFill Extension uses Apple's official ASCredentialProviderViewController; after Face ID / Touch ID, the username, password and TOTP all go in together. Info.plist also declares SupportsSavePasswordCredentials, so new passwords save back to ByteGuard from any flow.
- ASCredentialProviderViewController, system-level credential provider
- Safari + third-party apps, all flows covered
- Unlock via Face ID / Touch ID; TOTP delivered in the same step
Private keys never leave the device.
WebAuthn / FIDO2 standard. ES256 (ECDSA P-256, COSE alg -7). Private keys are AES-256-GCM encrypted with the Item Key — plaintext never written to disk. AutoFillExtension handles registration and assertion via the Apple system bridge.
- ES256 (ECDSA P-256, COSE -7)
- AutoFill Extension handles registration + assertion
- iCloud E2E encrypted sync (Premium)
PAN encrypted, CVV never stored.
Card number (PAN) gets its own AES-256-GCM key with a unique IV. Cardholder name, expiry, brand (Visa / Mastercard / etc.) stay searchable as metadata. CVV/CVC are never persisted on this device.
- PAN encrypted; BIN (first 4-6) / last 4 shown in plaintext
- CVV/CVC never persisted on device
- Cardholder / expiry / brand / billing-address metadata
Dark / Light / System.
AppearanceMode three modes: system / light / dark — switch any time, no restart. Premium tier unlocks multi-color themes; Home Screen widgets stay in sync.
- AppearanceMode three modes: system / light / dark
- Multi-color themes (Premium)
- Home Screen widgets follow theme
Zero-knowledge, v doslovném smyslu.
Tvé hlavní heslo nikdy neopustí tvé zařízení. Tvůj Secret Key je generován lokálně a uložen v Apple Keychain — synchronizován mezi tvými Apple zařízeními skrze end-to-end šifrovaný Keychain od Applu (můžeš ho také ponechat na jediném zařízení). K dešifrování dat jsou potřeba oba klíče a ani já, ani Apple nemůžeme přečíst žádný z nich. Není to slib — je to architektura.
Argon2id key derivation
password + Secret Key + 32B salt → Master Key. Parameters: 64 MB memory · 3 iterations. Resistant to GPU/ASIC brute force.
HKDF-SHA256 key hierarchy
Master Key → KEK → random DEK. Each vault gets its own DEK — no horizontal decryption path.
Field-level AES-256-GCM
Every sensitive field encrypted independently · new random IV on every write. Same plaintext → different ciphertext · authenticated tag prevents tampering.
128-bit Secret Key
A random key (a 12-word BIP39 mnemonic in form), independent of the master password. Even if the master password leaks, your vault still cannot be opened without it.
Toto není „nechci“ — je to architektonicky „nemohu“.
- See, access, or decrypt your stored data
- Reset your master password
- Recover a vault without your Secret Key
- Hand over decrypted data to anyone — by architecture, no party can decrypt without your master password
- Plant a backdoor in the encryption flow
- Collect analytics or crash reports
What I built. What I chose not to.
No competitor table. No checkmarks. Just an indie developer listing — plainly — what I wrote, and what I deliberately didn't. Read it, then decide whether to trust me with your ledger.
— WHAT I BUILT —
Field-level AES-256-GCM
Every sensitive field encrypted independently, with its own random IV.
Argon2id key derivation
64 MB memory × 3 iterations — resistant to GPU/ASIC brute force.
128-bit Secret Key
A random key independent of the master password — your second line of defense.
Full offline mode
iCloud sync can be turned off in one tap; the app falls back to pure local storage.
HIBP k-anonymity lookup
Only the first 5 chars of the SHA-1 hash are sent — your password never leaves the device.
Native system integration
AutoFill, Passkey, and TOTP all use Apple's official APIs. No reinvented wheels.
Zero third-party SDKs
No analytics. No tracking. No ads. No crash reporters.
— WHAT I CHOSE NOT TO —
No web app or browser extension
XSS, extension supply-chain attacks, CDN takeovers — that surface is excluded by architecture, not policy.
No Android or Windows builds
Each platform means re-implementing the crypto primitives correctly. Get one line wrong and the whole chain breaks.
No team or enterprise sharing
Sharing is trust delegation — I'm still working out how to do it right. Until I am, I won't ship it.
No self-hosting option
Under zero-knowledge, self-hosting just shifts the operational burden to you with no real security gain.
No third-party audit yet
Honestly: I haven't paid for one yet. The /security page documents every crypto decision against the source so anyone can verify independently. Independent audit + open-sourcing the crypto core are both on the 2026 roadmap — follow the GitHub repo to be notified when they land.
No "recover master password" path
If I could recover it, it wouldn't be zero-knowledge. The most reliable backup is still old-school: write your master password and Secret Key on paper and store them apart.
No aggressive release cadence
Crypto-related changes will move very conservatively. Stability over novelty.
Jednoduché. Férové. Tvá volba.
Žádné skryté poplatky. Předplať si měsíčně, ročně, nebo zaplať jednou za život. Veškerou fakturaci řeší Apple.
O této aplikaci a o člověku, který ji postavil.
Kdo jsi? Proč bych ti měl/a svěřit svá hesla?
Jsem nezávislý vývojář. ByteGuard píšu sám — žádný tým, žádné financování, zatím žádný nezávislý bezpečnostní audit. (V sekci výše to uvádím poctivě.) Jediné, co můžu slíbit, je samotná architektura: tvé hlavní heslo a Secret Key nikdy neopustí tvé zařízení a na mém serveru není nic, co by mohlo dešifrovat tvá data. Pokud ti tato premisa nestačí, tahle aplikace pro tebe není — a to je naprosto v pořádku.
Co když zapomenu hlavní heslo?
Nedokážu ho obnovit. To je cena za zero-knowledge: nemohu resetovat to, co jsem nikdy neznal. Pro denní odemykání používej Face ID / Touch ID a hlavní heslo i Secret Key si napiš na papír uložený v sejfu nebo bankovní schránce. Zní to jako 90. léta — a stále je to nejspolehlivější záloha, kterou máme.
Co když ztratím Secret Key?
Záleží, jestli jsi pro Secret Key zapnul/a synchronizaci přes iCloud Keychain. Pokud je iCloud Keychain sync zapnutý (výchozí doporučené nastavení): tvůj Secret Key je end-to-end šifrovaný Applem a synchronizovaný napříč tvými Apple zařízeními. Na novém zařízení stačí přihlásit se Apple ID a Secret Key se obnoví automaticky — stačí si pamatovat hlavní heslo. Pokud je iCloud Keychain sync vypnutý (maximální bezpečnost, oba klíče si držíš sám/a): Secret Key nikdy neopustí zařízení, kde byl vygenerován. Jediná záloha je 12slovná recovery fráze (standard BIP39) zobrazená při prvním vytvoření trezoru. Napiš si ji na papír a ulož odděleně od hlavního hesla. Bez té papírové zálohy nelze Secret Key na novém zařízení obnovit. V obou případech: hlavní heslo je stále potřeba k dešifrování čehokoli — samotný Secret Key nestačí. A já jsem nikdy neviděl ani jeden bit z žádného z nich: na mém serveru není nic, co by mohlo dešifrovat tvá data, a Apple také nedokáže přečíst tvůj Secret Key (je E2E šifrovaný uvnitř jejich Keychain vrstvy).
Je synchronizace přes iCloud opravdu bezpečná? Apple opravdu nic nevidí?
Všechna citlivá pole jsou šifrovaná pomocí AES-256-GCM ještě než opustí zařízení. iCloud dostává pouze ciphertext; ani já nemám klíč (klíč nikdy neopustí tvé zařízení). Pokud nechceš cloud používat vůbec, můžeš sync v nastavení vypnout — aplikace přejde do plně lokálního režimu, což je naprosto legitimní způsob použití.
Proč ne Android / Windows / Web?
Dva důvody. Jeden člověk uživí jen určité množství kódu a multiplatformnost znamená správně reimplementovat kryptografické primitivy na každé platformě — stačí jeden řádek špatně a celý řetěz padne. Druhý: útočná plocha webové aplikace (XSS, supply-chain rozšíření, CDN takeover) je mnohem větší než nativní iOS aplikace. Raději udělám jednu platformu pořádně, než abych dodal něco, co vypadá komplexně, ale je nerovnoměrně bezpečné.
Je migrace z 1Password / Bitwarden těžká?
Přímý import z exportních souborů 1Password / Bitwarden / LastPass / KeePass / Dashlane / Apple Keychain je podporován. Celý import probíhá lokálně — nic se neodesílá. Pokud ti exportní formát starého správce dělá problémy, napiš mi mail a podporu doplním.
Bude se cena zvyšovat? Změní se doživotní tarif na předplatné?
9,99 $ doživotně je trvalých a zahrnuje všechny budoucí aktualizace. Pokud někdy přibude tarif „prémiové předplatné“ (např. hlubší bezpečnostní analytika), bude pouze předplatný — stávající doživotní funkce za něj nikdy nebudou skryty. To je závazek, který jsem ochoten dát na tuto stránku.