Passwörter sicher versenden mit WhisPass

27.08.2021

Als Softwaredienstleister ist bei der Planung und Entwicklung von Software das Thema Sicherheit ein selbstverständlicher Begleiter. Im Projektalltag vergisst man jedoch leider viel zu oft – sowohl auf Dienstleister – als auch Kundenseite – dass vermeindliche Kleinigkeiten wie „Ich schick Dir kurz das Passwort via E-Mail.“ fatale Folgen haben können.

WhisPass ist ein neues Tool von doubleSlash zum sicheren und einfachen Austausch von Passwörtern. Dieser Artikel erzählt die Entstehungsgeschichte von WhisPass und was das Tool so besonders macht.

WhisPass Logo
Abbildung 1: WhisPass Logo, Quelle: doubleSlash

Der doubleSlash Innovationsprozess

Das bestehende Problem des unverschlüsselten Passwortaustausches konnte ich als Entwickler nicht mehr im Projektalltag so hinnehmen – eine Lösung musste her. Aus diesem Grund habe ich mir unseren doubleSlash Innovationsprozess zu Nutze gemacht. Durch den Innovationsprozess hat jeder Mitarbeiter die Möglichkeit, Ideen zur Verbesserung von Prozessen oder Produkten einzusteuern. Diese Ideen werden strukturiert bewertet und ggf. auch umgesetzt.

Bei der Suche nach einem geeigneten Tool bin ich auf viele Webapps gestoßen, die zwar prinzipell das bieten, was ich suchte – ein Tool zum Austausch von Passwörtern – aber keines der gefundenen Tools konnte Sicherheit und eine gute Usability / User Experience vereinen. Deshalb schlug ich innerhalb des Innovationsprozesses die Entwicklung unseres eigenen, sicheren Tools zum Austausch von Passwörtern vor.

Sicherheit darf nicht der Bequemlichkeit weichen

Während in der IT-Sicherheitsforschung bereits an Technologien wie dem Quantenschlüsselaustausch geforscht wird, werden in der Realität des Projektalltages Passwörter im Klartext via E-Mail oder Chat verschickt. Nicht nur das Unverschlüsselte ist das Problem. Vor allem die unkontrollierte Persistierung der Passwörter in Verläufen von E-Mails und Chats ist ein nicht zu unterschätzendes Sicherheitsrisiko. Wenn man jemanden frägt, ob ihm Sicherheit wichtig ist, antworten natürlich alle mit „Ja“. Die Frage ist, warum dann trotzdem noch viel zu oft die Sicherheit der Bequemlichkeit weicht (siehe Intentions-Verhaltens-Lücke).

Natürlich gibt es sichere Wege, Passwörter z.B. über PGP-Verschlüsselte E-Mails zu versenden. Das Problem des initialen PGP-Schlüsselaustausches besteht aber auch hier und stellt dabei meist eine so große Hürde dar, dass am Ende dann doch wieder die Bequemlichkeit siegt und ein Passwort im Klartext verschickt wird. Das sicherste und beste Tool bringt eben nichts, wenn es nicht genutzt wird. Deshalb haben wir unser Projektziel wie folgt formuliert:

WhisPass bietet die beste UX
zum sicheren Austausch
von Passwörtern.

Zur Verprobung der Webapp bieten wir WhisPass allen Mitarbeitern bei doubleSlash zum sicheren Austausch von Passwörtern untereinander und mit externen Partnern/Kunden unter dieser Adresse an: https://whispass.doubleslash.de
Screenshot aus dem WhisPass Login
Sie sind externer Partner oder Kunde von doubleSlash und möchten WhisPass ausprobieren? Fragen Sie bei Ihrem doubleSlash-Ansprechparter nach einem Gastzugangslink.

Was kann WhisPass?

WhisPass Screenshot

Passwort versenden

Um ein Passwort als //-Mitarbeiter an einen externen Partner/Kunden zu versenden, muss nach dem Login ein Passwortlink generiert werden. Das geht nach Engabe des Passwortes durch einen Klick auf „Passwortlink generieren“.
WhisPass Screenshot

Der generierte Passwortlink kann nun an den externen Partner/Kunden über einen sicheren 1:1 Kanal versendet werden.
WhisPass Screenshot
Der Empfänger sieht nach Aufruf des Passwortes zunächst folgende Sicherheitshinweise:
WhisPass Screenshot
Nach Klick auf „Passwort anzeigen“ wird das Passwort entschlüsselt und angezeigt.
WhisPass Screenshot

Passwort anfordern

Um ein Passwort als //-Mitarbeiter von einem externen Partner/Kunden anzufordern, muss der //-Mitarbeiter nach dem Login einen Gastzugangslink generieren. Dieser ist ebenfalls nur zeitlich begrenzt und einmalig nutzbar:
WhisPass Screenshot
Mit diesem Gastzugangslink hat der externe Partner/Kunde einmaligen Zugang zu WhisPass, um einen Passwortlink zu generieren. Ab hier gleicht der Prozess dann dem des Passwort versenden.

Was macht WhisPass so sicher?

Durch die verschiedenen Sicherheitsmechanismen wird verhindert, dass Passwörter unkontrolliert und dauerhaft in Verläufen von E-Mails oder Chats gespeichert werden.

  • Sichere Ende-zu-Ende Verschlüsselung

    Ver- und Entschlüsselung finden nur lokal im Browser statt. Der benötigte geheime Schlüssel wird niemals
    an einen Server geschickt. Nicht einmal WhisPass selbst, kann die Passwörter einsehen.
    Mehr Infos auf Wikipedia: Ende-zu-Ende-Verschlüsselung.

  • Dein Passwort ist nur einmalig einsehbar

    Sobald ein Passwort entschlüsselt bzw. angezeigt wurde, wird es unwiderruflich aus der Datenbank
    gelöscht.

  • Dein Passwort ist nur innerhalb eines bestimmten
    Zeitraumes
    einsehbar

    Nach einer vom Sender gewählten Zeit wird das verschlüsselte
    Passwort unwiderruflich aus der Datenbank gelöscht.

Selbst wenn der Passwortlink von einem Angreifer abgegriffen wurde, bekommt dies der rechtmäßige Empfänger immer mit, da in diesem Fall beim Aufruf des Passwortlinks folgendes angezeigt wird:
WhisPass Screenshot

Wie funktioniert die Ende-zu-Ende-Verschlüsselung in WhisPass?

Der Verschlüsselungsprozess zum Generieren des Passwortlinks beim Sender ist im folgendem Sequenzdiagramm dargestellt:
WhisPass Screenshot

Der Entschlüsselungsprozess zum Anzeigen des Passwortes beim Empfänger ist in folgendem Sequenzdiagramm dargestellt:
WhisPass Screenshot

Falls auch Sie WhisPass in Ihrem Unternehmen nutzen möchten, kontaktieren Sie uns gern.

So können wir feststellen, ob Bedarf an der Überführung von WhisPass in ein vermarktbares Produkt (SaaS/On Premise) besteht.


Zurück zur Übersicht

Ein Kommentar zur “Passwörter sicher versenden mit WhisPass

  1. In meinen Augen ein sehr nützliches Tool. So wie weTransfer! Ich werde es auf jeden fall nutzen.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*Pflichtfelder

*