One ledger, eight identities
Every sensitive field encrypted with AES-256-GCM, with its own random IV.
Parolele tale, controlul tău.
Protejează-ți parolele, cheile de acces, 2FA și cardurile bancare cu criptare AES-256-GCM. Local întâi, sincronizare iCloud opțională.
Built on modern iOS primitives
Un singur registru, doar al tău. Nicio a treia copie, nicăieri.
Nu este o „aplicație de parole” — este un registru criptat care consolidează fiecare identitate digitală într-un singur loc. Toate cele opt tipuri de elemente trec prin același pipeline de criptare la nivel de câmp.
No second app needed
Scan to save. AutoFill fills the 6-digit code along with the password.
A strong one, in a second
Random string or EFF wordlist phrase. Live entropy meter.
FIDO2 / WebAuthn
Generated and stored locally. Private key never leaves the device in plaintext.
HIBP · k-anonymity
Only the first 5 chars of the SHA-1 hash leave the device. Your password never does.
Safari · apps · keyboard — one step
System-level AutoFill extension. Face ID confirms; codes get filled in too.
End-to-end · optional
Routed via Apple's private CloudKit. Sensitive fields are encrypted on-device before upload — only ciphertext reaches the server. Toggle off anytime to go fully local.
Yours to keep, anytime
1Password · Bitwarden · LastPass · KeePass · Dashlane · Apple Keychain. Three export formats: JSON / CSV (plaintext) + encrypted .bytegx.
Edited wrong? Deleted by accident? Recoverable.
Every password change saves the previous value — up to 5 history versions kept, one-tap rollback. Deleted items go to a recycle bin and clear after the retention window.
Clipboard counts down. App locks itself.
Pasteboard auto-clears after a configurable delay; foreground / background auto-lock timers can be set separately.
Tap from the lock screen, password's there
Two widgets: quick vault access + on-the-fly password generator.
Trei lucruri la care am refuzat compromisul
TOTP integrat, audit de securitate pe dispozitiv și Passkeys — cele trei zone unde ByteGuard depășește cel mai clar managerul mediu de parole.
Codes, without juggling two apps.
Scan to save — every 2FA in one place. The detail page shows the live code with a countdown ring; long-press to copy. With AutoFill, the code goes in along with username and password.
- RFC 6238 TOTP, 6/8 digits · SHA-1 / 256 / 512 HMAC
- iCloud cross-device sync (E2E encrypted, Premium)
- Three export formats: JSON / CSV (plaintext) + encrypted .bytegx
You can only fix what you can see.
Backed by Have I Been Pwned with the k-anonymity protocol — only the first 5 chars of the SHA-1 hash ever leave the device. Every weakness comes with a concrete next step.
- Detects leaked / weak / reused / outdated
- HIBP k-anonymity (SHA-1 prefix-5); plaintext never sent
- One tap jumps to the entry to replace
Private keys never leave the device.
WebAuthn / FIDO2 standard. ES256 (ECDSA P-256, COSE alg -7). Private keys are AES-256-GCM encrypted with the Item Key — plaintext never written to disk. AutoFillExtension handles registration and assertion via the Apple system bridge.
- ES256 (ECDSA P-256, COSE -7)
- AutoFill Extension handles registration + assertion
- iCloud E2E encrypted sync (Premium)
Iată cum arată cu adevărat
Zece ecrane, în ordinea scenariilor — toată aplicația explicată pas cu pas. Fără texte de marketing.
Every digital identity, in one place.
Top 10 / All / Favorites / Logins multi-view; live filtered search. All eight DataType cases run the full field-level encryption pipeline — not a 'password app', but a digital-identity ledger.
- 8 types: login / card / API key / identity / note / license / passkey / OAuth token
- Each entry gets its own AES-256-GCM key; plaintext never leaves the device
- Local-first; optional iCloud end-to-end encrypted sync
Codes, without juggling two apps.
Scan to save — every 2FA in one place. The detail page shows the live code with a countdown ring; long-press to copy. With AutoFill, the code goes in along with username and password.
- RFC 6238 TOTP, 6/8 digits · SHA-1 / 256 / 512 HMAC
- iCloud cross-device sync (E2E encrypted, Premium)
- Three export formats: JSON / CSV (plaintext) + encrypted .bytegx
One entry — every field at once.
Login detail: username, password, history, linked TOTP, website, custom fields. Each sensitive field independently decrypted with its own IV, shown only on demand. Copy auto-clears the clipboard.
- Each sensitive field independently AES-256-GCM encrypted with its own IV
- TOTP / Passkey two-way linking shown together
- Copy auto-clears clipboard (5 presets)
Made a typo? Deleted by mistake? Recoverable.
Every change saves the previous value (spec:R3 — up to 5 versions kept); tap the timeline to restore. Deleted items are retained for 90 days before permanent removal.
- Up to 5 history versions kept
- Four source markers: manual / AutoFill / imported / sync
- Deleted items retained 90 days
You can only fix what you can see.
Backed by Have I Been Pwned with the k-anonymity protocol — only the first 5 chars of the SHA-1 hash ever leave the device. Every weakness comes with a concrete next step.
- Detects leaked / weak / reused / outdated
- HIBP k-anonymity (SHA-1 prefix-5); plaintext never sent
- One tap jumps to the entry to replace
A strong one — in one second.
Random (4-64 chars / exclude look-alikes / digits-only for PIN) or EFF passphrase, with live entropy meter. Replaces the old value and records the change in history.
- Two modes: random (incl. PIN) + EFF passphrase
- Apple system CSPRNG (Swift Int.random + SecRandomCopyBytes)
- Live entropy meter and strength indicator
Tap in Safari, and the password fills itself.
AutoFill Extension uses Apple's official ASCredentialProviderViewController; after Face ID / Touch ID, the username, password and TOTP all go in together. Info.plist also declares SupportsSavePasswordCredentials, so new passwords save back to ByteGuard from any flow.
- ASCredentialProviderViewController, system-level credential provider
- Safari + third-party apps, all flows covered
- Unlock via Face ID / Touch ID; TOTP delivered in the same step
Private keys never leave the device.
WebAuthn / FIDO2 standard. ES256 (ECDSA P-256, COSE alg -7). Private keys are AES-256-GCM encrypted with the Item Key — plaintext never written to disk. AutoFillExtension handles registration and assertion via the Apple system bridge.
- ES256 (ECDSA P-256, COSE -7)
- AutoFill Extension handles registration + assertion
- iCloud E2E encrypted sync (Premium)
PAN encrypted, CVV never stored.
Card number (PAN) gets its own AES-256-GCM key with a unique IV. Cardholder name, expiry, brand (Visa / Mastercard / etc.) stay searchable as metadata. CVV/CVC are never persisted on this device.
- PAN encrypted; BIN (first 4-6) / last 4 shown in plaintext
- CVV/CVC never persisted on device
- Cardholder / expiry / brand / billing-address metadata
Dark / Light / System.
AppearanceMode three modes: system / light / dark — switch any time, no restart. Premium tier unlocks multi-color themes; Home Screen widgets stay in sync.
- AppearanceMode three modes: system / light / dark
- Multi-color themes (Premium)
- Home Screen widgets follow theme
Zero-knowledge, în sens literal.
Parola ta principală nu părăsește niciodată dispozitivul. Secret Key-ul tău este generat local și stocat în Apple Keychain — sincronizat între dispozitivele tale Apple prin Keychain-ul criptat end-to-end al Apple (îl poți păstra și pe un singur dispozitiv). Ambele chei sunt necesare pentru a-ți decripta datele, iar nici eu, nici Apple nu putem citi vreuna dintre ele. Nu este o promisiune — este arhitectura.
Argon2id key derivation
password + Secret Key + 32B salt → Master Key. Parameters: 64 MB memory · 3 iterations. Resistant to GPU/ASIC brute force.
HKDF-SHA256 key hierarchy
Master Key → KEK → random DEK. Each vault gets its own DEK — no horizontal decryption path.
Field-level AES-256-GCM
Every sensitive field encrypted independently · new random IV on every write. Same plaintext → different ciphertext · authenticated tag prevents tampering.
128-bit Secret Key
A random key (a 12-word BIP39 mnemonic in form), independent of the master password. Even if the master password leaks, your vault still cannot be opened without it.
Acesta nu este „nu vreau” — este arhitectural „nu pot”.
- See, access, or decrypt your stored data
- Reset your master password
- Recover a vault without your Secret Key
- Hand over decrypted data to anyone — by architecture, no party can decrypt without your master password
- Plant a backdoor in the encryption flow
- Collect analytics or crash reports
What I built. What I chose not to.
No competitor table. No checkmarks. Just an indie developer listing — plainly — what I wrote, and what I deliberately didn't. Read it, then decide whether to trust me with your ledger.
— WHAT I BUILT —
Field-level AES-256-GCM
Every sensitive field encrypted independently, with its own random IV.
Argon2id key derivation
64 MB memory × 3 iterations — resistant to GPU/ASIC brute force.
128-bit Secret Key
A random key independent of the master password — your second line of defense.
Full offline mode
iCloud sync can be turned off in one tap; the app falls back to pure local storage.
HIBP k-anonymity lookup
Only the first 5 chars of the SHA-1 hash are sent — your password never leaves the device.
Native system integration
AutoFill, Passkey, and TOTP all use Apple's official APIs. No reinvented wheels.
Zero third-party SDKs
No analytics. No tracking. No ads. No crash reporters.
— WHAT I CHOSE NOT TO —
No web app or browser extension
XSS, extension supply-chain attacks, CDN takeovers — that surface is excluded by architecture, not policy.
No Android or Windows builds
Each platform means re-implementing the crypto primitives correctly. Get one line wrong and the whole chain breaks.
No team or enterprise sharing
Sharing is trust delegation — I'm still working out how to do it right. Until I am, I won't ship it.
No self-hosting option
Under zero-knowledge, self-hosting just shifts the operational burden to you with no real security gain.
No third-party audit yet
Honestly: I haven't paid for one yet. The /security page documents every crypto decision against the source so anyone can verify independently. Independent audit + open-sourcing the crypto core are both on the 2026 roadmap — follow the GitHub repo to be notified when they land.
No "recover master password" path
If I could recover it, it wouldn't be zero-knowledge. The most reliable backup is still old-school: write your master password and Secret Key on paper and store them apart.
No aggressive release cadence
Crypto-related changes will move very conservatively. Stability over novelty.
Simplu. Corect. Alegerea ta.
Fără taxe ascunse. Abonează-te lunar, anual sau plătește o singură dată pe viață. Toată facturarea este gestionată de Apple.
Despre această aplicație și despre cel care a construit-o.
Cine ești? De ce să-ți încredințez parolele mele?
Sunt un dezvoltator independent. ByteGuard este scris doar de mine — fără echipă, fără finanțare, fără audit de securitate independent încă. (Mai sus o spun sincer.) Singurul lucru pe care îl pot promite este arhitectura în sine: parola ta principală și Secret Key nu părăsesc niciodată dispozitivul, iar pe serverul meu nu există nimic care să-ți poată decripta datele. Dacă această premisă nu îți este suficientă, această aplicație nu ți se potrivește — și e perfect în regulă.
Ce se întâmplă dacă uit parola principală?
Nu o pot recupera. Acesta este costul zero-knowledge: nu pot reseta ceea ce nu am știut niciodată. Folosește Face ID / Touch ID pentru deblocare zilnică și scrie parola principală și Secret Key pe o foaie de hârtie ținută într-un seif sau o casetă de valori la bancă. Sună ca anii '90 — și rămâne cea mai sigură copie de rezervă pe care o avem.
Ce se întâmplă dacă pierd Secret Key?
Depinde dacă ai activat sincronizarea iCloud Keychain pentru Secret Key. Dacă sincronizarea iCloud Keychain este activată (configurația implicită recomandată): Secret Key-ul tău este criptat end-to-end de Apple și sincronizat pe toate dispozitivele tale Apple. Pe un dispozitiv nou, doar te conectezi cu Apple ID și Secret Key se restaurează automat — trebuie doar să-ți amintești parola principală. Dacă sincronizarea iCloud Keychain este dezactivată (securitate maximă, ții ambele chei chiar tu): Secret Key nu părăsește niciodată dispozitivul pe care a fost generat. Singura ta copie de rezervă este fraza de recuperare de 12 cuvinte (standard BIP39) afișată la prima creare a seifului. Scrie-o pe hârtie și păstreaz-o separat de parola principală. Fără acea copie pe hârtie, Secret Key nu poate fi restaurat pe un dispozitiv nou. În oricare caz: parola principală este în continuare necesară pentru a decripta orice — Secret Key singur nu este suficient. Și eu nu am văzut niciodată un singur bit din nicio cheie: serverul meu nu conține nimic care să-ți poată decripta datele, iar nici Apple nu poate citi Secret Key-ul tău (este criptat E2E în stratul lor Keychain).
Sincronizarea iCloud este cu adevărat sigură? Apple chiar nu poate vedea nimic?
Toate câmpurile sensibile sunt criptate cu AES-256-GCM înainte de a părăsi vreodată dispozitivul. iCloud primește doar ciphertext; nici eu nu am cheia (cheia nu părăsește niciodată dispozitivul tău). Dacă preferi să nu folosești cloudul deloc, poți dezactiva sincronizarea în setări — aplicația revine la un mod complet local, ceea ce este o modalitate perfect legitimă de utilizare.
De ce nu Android / Windows / Web?
Două motive. O singură persoană poate întreține doar atâta cod, iar multiplatformul înseamnă reimplementarea corectă a primitivelor criptografice pe fiecare platformă — o singură linie greșită și tot lanțul cedează. Al doilea: suprafața de atac a unei aplicații web (XSS, lanț de aprovizionare al extensiilor, preluarea CDN) este mult mai mare decât a unei aplicații native iOS. Prefer să fac o platformă bine decât să livrez ceva care pare complet, dar este inegal de sigur.
Este greu de migrat de la 1Password / Bitwarden?
Importul direct din fișierele exportate de 1Password / Bitwarden / LastPass / KeePass / Dashlane / Apple Keychain este suportat. Tot importul rulează local — nu se încarcă nimic. Dacă formatul de export al managerului tău vechi îți dă probleme, scrie-mi un email și voi adăuga suport.
Va crește prețul? Tariful pe viață se va transforma în abonament?
9,99 $ pe viață este permanent și include toate actualizările viitoare. Dacă vreodată va fi adăugat un tarif „abonament premium” (de ex. analize de securitate mai aprofundate), va fi doar pe bază de abonament — funcțiile existente pe viață nu vor fi mutate niciodată în spatele lui. Acesta este un angajament pe care sunt dispus să-l pun pe această pagină.