Passbolt ist eine webbasierte Open-Source-Software zum Management von Passwörtern für einzelne Benutzer oder Teams. Es setzt auf die bewährte PGP-Verschlüsselungstechnologie und ist einfach zu benutzen. Die gespeicherten Kennwörter verschlüsselt die Software mit den privaten PGP-Keys. Dazu kommt eine JavaScript-Implementierung namens OpenPGP.js zum Einsatz, die in einer Browser-Extension arbeitet. Auch zur Authentifizierung nutzt das Tool PGP in Form des GPGAuth-Protokolls und zur Absicherung der Kommunikation TLS/SSL. Voraussetzungen für den Betrieb des Passwortlagers sind ein SSL-fähiger Webserver mit URL-Rewriting wie etwa Apache oder Nginx, PHP sowie eins der drei PHP-Bildverarbeitungsmodule GD2, Imagick, Gmagick sowie GnuPG für PHP. Um Sessions im Cache zu speichern, empfehlen die Entwickler darüber hinaus Memcached und als Datenbank dient MySQL. Praktischerweise stellen die Entwickler Passbolt auch als Container zur Verfügung.
Nach der Installation stehen in Passbolt verschiedene Benutzerrollen zur Verfügung, die unterschiedliche Rechte aufweisen, etwa Administratoren der Umgebung oder Nutzer, die Passwörter nur lesen oder auch verändern dürfen. Jeder angelegte Benutzer wird erst dann aktiv, wenn er über den in der E-Mail verschickten Link sein Profil vervollständigt und einen Schlüssel hochgeladen hat. Über die Kernfunktionalität hinaus gibt es einige Funktionen, mit denen Passbolt versucht, die Verwendung sicherer zu gestalten. So erhält jeder Anwender beim Setup ein Security Token, bestehend aus einer Farbe und einer Zeichenkombination, das bei jeder kritischen Aktion auf dem Screen erscheint. Damit soll sich der User vergewissern können, dass ein Eingabeformular wirklich vom Passbolt-Server stammt und nicht von einem Angreifer vorgegaukelt wird. Analog dazu präsentiert der Server beim Login seinen Fingerprint, den jeder Anwender mit dem ihm bekannten Fingerprint abgleichen sollte. Die Verwaltung der Passwörter selbst ist recht intuitiv. Über ein Menü lassen sie sich anlegen, wobei nur ein Name und das Passwort selbst obligatorisch sind. Optional lassen sich eine URL, ein Username und eine Beschreibung eingeben.
