Mật khẩu của bạn, quyền kiểm soát của bạn.

Bảo vệ mật khẩu, passkey, 2FA và thẻ ngân hàng với mã hóa AES-256-GCM. Ưu tiên lưu trữ cục bộ, tùy chọn đồng bộ iCloud.

Built on modern iOS primitives

§ 01 · Một sổ cái

Một sổ cái, chỉ của bạn. Không có bản sao thứ ba ở bất kỳ đâu.

Không phải "ứng dụng mật khẩu" — mà là một sổ cái mã hóa, gom mọi danh tính số vào một nơi. Cả tám loại mục đều đi qua cùng một quy trình mã hóa cấp trường.

// 01 · 8 loại mục

Một sổ cái, tám danh tính

Mọi trường nhạy cảm được mã hóa bằng AES-256-GCM, mỗi trường có IV ngẫu nhiên riêng.

// 02 · TOTP

Không cần ứng dụng thứ hai

Quét để lưu. AutoFill điền mã 6 chữ số kèm theo mật khẩu.

// 03 · Trình tạo

Một mật khẩu mạnh, trong một giây

Chuỗi ngẫu nhiên hoặc cụm từ EFF wordlist. Đo entropy theo thời gian thực.

// 04 · Passkey

FIDO2 / WebAuthn

Tạo và lưu cục bộ. Khóa riêng tư không bao giờ rời khỏi thiết bị ở dạng văn bản thuần.

// 05 · Báo cáo bảo mật

HIBP · k-anonymity

Chỉ 5 ký tự đầu của hash SHA-1 rời khỏi thiết bị. Mật khẩu của bạn thì không.

// 06 · AutoFill

Safari · ứng dụng · bàn phím — chỉ một bước

Tiện ích AutoFill cấp hệ thống. Face ID xác nhận; mã cũng được điền tự động.

// 07 · Đồng bộ iCloud

Đầu cuối · tùy chọn

Định tuyến qua CloudKit riêng tư của Apple. Trường nhạy cảm được mã hóa ngay trên thiết bị trước khi tải lên — chỉ bản mã đến máy chủ. Tắt bất cứ lúc nào để chuyển sang chế độ cục bộ hoàn toàn.

// 08 · Nhập / xuất

Dữ liệu của bạn, mọi lúc

1Password · Bitwarden · LastPass · KeePass · Dashlane · Apple Keychain. Ba định dạng xuất: JSON / CSV (văn bản thuần) + .bytegx mã hóa.

// 09 · Chống nhầm lẫn

Sửa nhầm? Xóa nhầm? Vẫn khôi phục được.

Mỗi lần đổi mật khẩu đều lưu giá trị trước đó — giữ tối đa 5 phiên bản lịch sử, hoàn tác chỉ với một chạm. Mục đã xóa vào thùng rác và được dọn sau thời gian giữ lại.

// 10 · Tự động xóa, luôn luôn

Clipboard đếm ngược. Ứng dụng tự khóa.

Pasteboard tự xóa với 5 mức cài sẵn (15-90s); khóa tự động ở chế độ tiền cảnh / hậu cảnh được cấu hình riêng (luôn bật, không thể tắt).

// 11 · Truy cập Home Screen

Chạm từ màn hình khóa, mật khẩu hiện ngay

Hai widget: truy cập kho nhanh + tạo mật khẩu tức thì.

§ 04 · Bộ bảo mật cứng

Ba điều tôi từ chối thỏa hiệp

TOTP tích hợp, kiểm tra bảo mật trên thiết bị, và Passkey — ba điểm ByteGuard vượt trội rõ rệt so với các trình quản lý mật khẩu thông thường.

SPECIMEN · 002 · TOTP

Codes, without juggling two apps.

Scan to save — every 2FA in one place. The detail page shows the live code with a countdown ring; long-press to copy. With AutoFill, the code goes in along with username and password.

RFC 6238 TOTP, 6/8 digits · SHA-1 / 256 / 512 HMAC
iCloud cross-device sync (E2E encrypted, Premium)
Three export formats: JSON / CSV (plaintext) + encrypted .bytegx

SPECIMEN · 005 · SECURITY REPORT

You can only fix what you can see.

Backed by Have I Been Pwned with the k-anonymity protocol — only the first 5 chars of the SHA-1 hash ever leave the device. Every weakness comes with a concrete next step.

Detects leaked / weak / reused / outdated
HIBP k-anonymity (SHA-1 prefix-5); plaintext never sent
One tap jumps to the entry to replace

SPECIMEN · 008 · PASSKEYS

Private keys never leave the device.

WebAuthn / FIDO2 standard. ES256 (ECDSA P-256, COSE alg -7). Private keys are AES-256-GCM encrypted with the Item Key — plaintext never written to disk. AutoFillExtension handles registration and assertion via the Apple system bridge.

ES256 (ECDSA P-256, COSE -7)
AutoFill Extension handles registration + assertion
iCloud E2E encrypted sync (Premium)

§ 05 · Ảnh chụp tự nói

Đây là cách ứng dụng thực sự nhìn

Mười màn hình, theo thứ tự kịch bản — toàn bộ ứng dụng đi một lượt. Không lời quảng cáo.

SPECIMEN · 001 · VAULT

Every digital identity, in one place.

Top 10 / All / Favorites / Logins multi-view; live filtered search. All eight DataType cases run the full field-level encryption pipeline — not a 'password app', but a digital-identity ledger.

8 types: login / card / API key / identity / note / license / passkey / OAuth token
Each entry gets its own AES-256-GCM key; plaintext never leaves the device
Local-first; optional iCloud end-to-end encrypted sync

SPECIMEN · 002 · TOTP

Codes, without juggling two apps.

Scan to save — every 2FA in one place. The detail page shows the live code with a countdown ring; long-press to copy. With AutoFill, the code goes in along with username and password.

RFC 6238 TOTP, 6/8 digits · SHA-1 / 256 / 512 HMAC
iCloud cross-device sync (E2E encrypted, Premium)
Three export formats: JSON / CSV (plaintext) + encrypted .bytegx

SPECIMEN · 003 · DETAIL

One entry — every field at once.

Login detail: username, password, history, linked TOTP, website, custom fields. Each sensitive field independently decrypted with its own IV, shown only on demand. Copy auto-clears the clipboard.

Each sensitive field independently AES-256-GCM encrypted with its own IV
TOTP / Passkey two-way linking shown together
Copy auto-clears clipboard (5 presets)

SPECIMEN · 004 · PASSWORD HISTORY

Made a typo? Deleted by mistake? Recoverable.

Every change saves the previous value (spec:R3 — up to 5 versions kept); tap the timeline to restore. Deleted items are retained for 90 days before permanent removal.

Up to 5 history versions kept
Four source markers: manual / AutoFill / imported / sync
Deleted items retained 90 days

SPECIMEN · 005 · SECURITY REPORT

You can only fix what you can see.

Backed by Have I Been Pwned with the k-anonymity protocol — only the first 5 chars of the SHA-1 hash ever leave the device. Every weakness comes with a concrete next step.

Detects leaked / weak / reused / outdated
HIBP k-anonymity (SHA-1 prefix-5); plaintext never sent
One tap jumps to the entry to replace

SPECIMEN · 006 · GENERATOR

A strong one — in one second.

Random (4-64 chars / exclude look-alikes / digits-only for PIN) or EFF passphrase, with live entropy meter. Replaces the old value and records the change in history.

Two modes: random (incl. PIN) + EFF passphrase
Apple system CSPRNG (Swift Int.random + SecRandomCopyBytes)
Live entropy meter and strength indicator

SPECIMEN · 007 · AUTOFILL

Tap in Safari, and the password fills itself.

AutoFill Extension uses Apple's official ASCredentialProviderViewController; after Face ID / Touch ID, the username, password and TOTP all go in together. Info.plist also declares SupportsSavePasswordCredentials, so new passwords save back to ByteGuard from any flow.

ASCredentialProviderViewController, system-level credential provider
Safari + third-party apps, all flows covered
Unlock via Face ID / Touch ID; TOTP delivered in the same step

SPECIMEN · 008 · PASSKEYS

Private keys never leave the device.

ES256 (ECDSA P-256, COSE -7)
AutoFill Extension handles registration + assertion
iCloud E2E encrypted sync (Premium)

SPECIMEN · 009 · CARDS

PAN encrypted, CVV never stored.

Card number (PAN) gets its own AES-256-GCM key with a unique IV. Cardholder name, expiry, brand (Visa / Mastercard / etc.) stay searchable as metadata. CVV/CVC are never persisted on this device.

PAN encrypted; BIN (first 4-6) / last 4 shown in plaintext
CVV/CVC never persisted on device
Cardholder / expiry / brand / billing-address metadata

SPECIMEN · 010 · THEME

Dark / Light / System.

AppearanceMode three modes: system / light / dark — switch any time, no restart. Premium tier unlocks multi-color themes; Home Screen widgets stay in sync.

AppearanceMode three modes: system / light / dark
Multi-color themes (Premium)
Home Screen widgets follow theme

§ 02 · Kiến trúc không lưu dữ liệu

Không lưu dữ liệu, theo nghĩa đen.

Mật khẩu chính của bạn không bao giờ rời khỏi thiết bị. Secret Key được tạo cục bộ và lưu trong Apple Keychain — đồng bộ qua các thiết bị Apple thông qua Keychain mã hóa đầu cuối của Apple (bạn cũng có thể chỉ giữ trên một thiết bị). Cả hai khóa đều cần để giải mã, và cả tôi lẫn Apple đều không đọc được. Đây không phải lời hứa — đây là kiến trúc.

Đạo hàm khóa Argon2id

mật khẩu + Secret Key + 32B salt → Master Key. Tham số: 64 MB bộ nhớ · 3 vòng. Kháng tấn công brute force GPU/ASIC.

Phân cấp khóa HKDF-SHA256

Master Key → KEK → DEK ngẫu nhiên. Mỗi vault có DEK riêng — không có đường giải mã chéo.

AES-256-GCM cấp trường

Mỗi trường nhạy cảm được mã hóa độc lập · IV ngẫu nhiên mới mỗi lần ghi. Cùng văn bản gốc → bản mã khác nhau · thẻ xác thực ngăn chặn giả mạo.

Secret Key 128-bit

Một khóa ngẫu nhiên (dạng 12 từ BIP39), độc lập với mật khẩu chính. Ngay cả khi mật khẩu chính bị lộ, vault vẫn không thể mở được nếu thiếu nó.

Đây không phải "không muốn" — mà về mặt kiến trúc là "không thể".

Xem, truy cập hoặc giải mã dữ liệu bạn lưu
Đặt lại mật khẩu chính của bạn
Khôi phục vault khi không có Secret Key
Bàn giao dữ liệu đã giải mã cho bất cứ ai — về mặt kiến trúc, không bên nào có thể giải mã nếu không có mật khẩu chính
Cài cửa hậu trong luồng mã hóa
Thu thập dữ liệu phân tích hoặc báo cáo lỗi

§ 03 · An honest list

What I built. What I chose not to.

No competitor table. No checkmarks. Just an indie developer listing — plainly — what I wrote, and what I deliberately didn't. Read it, then decide whether to trust me with your ledger.

— WHAT I BUILT —

Field-level AES-256-GCM

Every sensitive field encrypted independently, with its own random IV.

Argon2id key derivation

64 MB memory × 3 iterations — resistant to GPU/ASIC brute force.

128-bit Secret Key

A random key independent of the master password — your second line of defense.

Full offline mode

iCloud sync can be turned off in one tap; the app falls back to pure local storage.

HIBP k-anonymity lookup

Only the first 5 chars of the SHA-1 hash are sent — your password never leaves the device.

Native system integration

AutoFill, Passkey, and TOTP all use Apple's official APIs. No reinvented wheels.

Zero third-party SDKs

No analytics. No tracking. No ads. No crash reporters.

— WHAT I CHOSE NOT TO —

No web app or browser extension

XSS, extension supply-chain attacks, CDN takeovers — that surface is excluded by architecture, not policy.

No Android or Windows builds

Each platform means re-implementing the crypto primitives correctly. Get one line wrong and the whole chain breaks.

No team or enterprise sharing

Sharing is trust delegation — I'm still working out how to do it right. Until I am, I won't ship it.

No self-hosting option

Under zero-knowledge, self-hosting just shifts the operational burden to you with no real security gain.

No third-party audit yet

Honestly: I haven't paid for one yet. The /security page documents every crypto decision against the source so anyone can verify independently. Independent audit + open-sourcing the crypto core are both on the 2026 roadmap — follow the GitHub repo to be notified when they land.

No "recover master password" path

If I could recover it, it wouldn't be zero-knowledge. The most reliable backup is still old-school: write your master password and Secret Key on paper and store them apart.

No aggressive release cadence

Crypto-related changes will move very conservatively. Stability over novelty.

Giá

Đơn giản. Công bằng. Bạn chọn.

Không phí ẩn. Đăng ký theo tháng, theo năm, hoặc mua một lần dùng trọn đời. Mọi thanh toán do Apple xử lý.

§ 04 · Câu hỏi thường gặp

Về ứng dụng này, và người đã làm ra nó.

Bạn là ai? Tại sao tôi nên tin tưởng giao mật khẩu cho bạn?

Tôi là một lập trình viên độc lập. ByteGuard do tôi viết một mình — không có đội ngũ, không có quỹ đầu tư, chưa có kiểm toán bảo mật bên thứ ba. (Tôi liệt kê điều này trung thực ở phần trên.) Điều duy nhất tôi có thể hứa là chính kiến trúc: mật khẩu chính và Secret Key của bạn không rời khỏi thiết bị, và máy chủ của tôi không có gì để giải mã dữ liệu của bạn. Nếu tiền đề đó chưa đủ với bạn, ứng dụng này không phù hợp — và điều đó hoàn toàn ổn.

Nếu tôi quên mật khẩu chính thì sao?

Tôi không thể khôi phục được. Đó là cái giá của zero-knowledge: tôi không thể đặt lại thứ tôi chưa từng biết. Hãy dùng Face ID / Touch ID để mở khóa hằng ngày, và viết mật khẩu chính cùng Secret Key lên giấy, cất trong két sắt hoặc két ngân hàng. Nghe có vẻ kiểu thập niên 1990 — nhưng đó vẫn là bản sao lưu đáng tin cậy nhất.

Nếu tôi mất Secret Key thì sao?

Phụ thuộc vào việc bạn có bật đồng bộ iCloud Keychain cho Secret Key hay không. Nếu bật iCloud Keychain (cài đặt khuyến nghị mặc định): Secret Key được Apple mã hóa đầu cuối và đồng bộ trên mọi thiết bị Apple của bạn. Trên thiết bị mới, chỉ cần đăng nhập Apple ID và Secret Key tự khôi phục — bạn chỉ cần nhớ mật khẩu chính. Nếu tắt đồng bộ iCloud Keychain (bảo mật tối đa, bạn tự giữ cả hai khóa): Secret Key không bao giờ rời thiết bị nó được tạo. Bản sao lưu duy nhất là cụm 12 từ khôi phục (chuẩn BIP39) hiện ra khi bạn tạo vault lần đầu. Hãy viết lên giấy và cất tách biệt với mật khẩu chính. Không có bản sao giấy đó, Secret Key không thể khôi phục trên thiết bị mới. Dù theo cách nào: vẫn cần mật khẩu chính để giải mã — chỉ Secret Key thôi không đủ. Và tôi chưa từng nhìn thấy một bit nào của cả hai: máy chủ của tôi không lưu gì có thể giải mã dữ liệu của bạn, và Apple cũng không đọc được Secret Key (nó được E2E mã hóa trong tầng Keychain).

Đồng bộ iCloud có thực sự an toàn không? Apple không thấy gì sao?

Mọi trường nhạy cảm được mã hóa bằng AES-256-GCM trước khi rời khỏi thiết bị. iCloud chỉ nhận bản mã; ngay cả tôi cũng không có khóa (khóa không bao giờ rời thiết bị). Nếu bạn không muốn dùng đám mây, có thể tắt đồng bộ trong cài đặt — ứng dụng chuyển sang chế độ cục bộ hoàn toàn, đó là cách dùng hoàn toàn hợp lý.

Tại sao không có Android / Windows / Web?

Có hai lý do. Một người chỉ duy trì được giới hạn lượng mã, và đa nền tảng nghĩa là phải triển khai lại các nguyên thủy mật mã đúng đắn trên mỗi nền tảng — sai một dòng là cả chuỗi sụp. Lý do kia: bề mặt tấn công của ứng dụng web (XSS, chuỗi cung ứng tiện ích, chiếm CDN) lớn hơn nhiều so với ứng dụng iOS gốc. Tôi thà làm tốt một nền tảng còn hơn ra mắt thứ trông toàn diện nhưng bảo mật không đồng đều.

Chuyển từ 1Password / Bitwarden có khó không?

Hỗ trợ nhập trực tiếp từ tệp xuất của 1Password / Bitwarden / LastPass / KeePass / Dashlane / Apple Keychain. Toàn bộ quá trình nhập chạy cục bộ — không tải lên gì cả. Nếu định dạng xuất từ trình quản lý cũ gây trục trặc, hãy email tôi và tôi sẽ thêm hỗ trợ.

Giá có tăng không? Gói trọn đời có chuyển thành thuê bao không?

Gói trọn đời 9.99$ là vĩnh viễn và bao gồm mọi cập nhật trong tương lai. Nếu sau này có gói "premium thuê bao" (ví dụ phân tích bảo mật chuyên sâu hơn), nó sẽ chỉ ở dạng thuê bao — các tính năng trọn đời hiện có sẽ không bao giờ bị chuyển vào sau bức tường đó. Đó là cam kết tôi sẵn sàng đặt trên trang này.

Tải trên App Store