Passwörter sicher teilen mit Yopass
Foto von Getty Images auf Unsplash
„Ich schick dir schnell das Passwort per Mail.” Dieser Satz fällt täglich tausendfach — und ist ein echtes Sicherheitsrisiko. Ob WordPress-Login, FTP-Zugang oder das Passwort fürs Kundenkonto: Werden Zugangsdaten per E-Mail, WhatsApp oder Slack verschickt, bleiben sie dort meist dauerhaft lesbar gespeichert. Wer später Zugriff auf das Postfach oder den Chatverlauf bekommt, hat auch das Passwort.
Zum Glück gibt es dafür eine einfache, kostenlose Lösung: Yopass. In diesem Beitrag zeige ich dir, warum das Teilen von Passwörtern über normale Kanäle so heikel ist, was Yopass genau macht und wie du es nutzt.
Warum Passwörter per E-Mail oder Chat riskant sind
Das Grundproblem: E-Mails und Chatnachrichten sind nicht zum Aufbewahren von Geheimnissen gedacht. Ein einmal verschicktes Passwort liegt danach an vielen Stellen gleichzeitig — im gesendeten Ordner des Absenders, im Posteingang des Empfängers, auf den Servern der Anbieter, oft auf mehreren Geräten synchronisiert.
Daraus ergeben sich gleich mehrere Gefahren:
- Dauerhafte Spur: Das Passwort bleibt lesbar, oft jahrelang, und gerät bei jedem gehackten oder unbedacht weitergegebenen Konto in falsche Hände.
- Weiterleitungen: Eine Mail wird schnell weitergeleitet — samt Passwort, an Personen, die es nie sehen sollten.
- Keine Kontrolle: Du weißt nie, wer die Nachricht wann liest oder wie lange sie gespeichert bleibt.
Gerade bei Zugangsdaten zu Webseiten, Hosting oder Onlineshops kann ein einziges abgefangenes Passwort großen Schaden anrichten. Sicheres Teilen ist deshalb ein wichtiger Teil des Themas WordPress-Sicherheit — und lässt sich mit dem richtigen Werkzeug ganz einfach lösen.
Was ist Yopass?
Yopass ist ein kostenloses, quelloffenes Tool zum sicheren Teilen von Geheimnissen — also Passwörtern, Zugangsdaten oder sensiblen Textschnipseln. Statt das Passwort direkt zu verschicken, erzeugst du damit einen speziellen Link, über den der Empfänger es genau einmal abrufen kann. Danach ist es unwiderruflich gelöscht.
Das Projekt gibt es bereits seit 2014, es wird aktiv gepflegt und wird unter anderem von größeren Unternehmen wie Spotify eingesetzt. Nutzen kannst du es sofort über die öffentliche Instanz unter share.yopass.se — ganz ohne Anmeldung.
Ein weiterer Vorteil: Weil Yopass quelloffen ist, kann jeder den Code einsehen und überprüfen. Gerade bei einem Sicherheitswerkzeug ist das ein großes Plus gegenüber undurchsichtigen Diensten, bei denen man einfach glauben muss, dass im Hintergrund alles sauber abläuft.
Der entscheidende Punkt: Yopass ist so gebaut, dass nicht einmal der Betreiber des Dienstes deine Geheimnisse lesen kann. Wie das geht, klären wir im nächsten Abschnitt.
Wie Yopass funktioniert
Das Herzstück ist eine sogenannte Ende-zu-Ende-Verschlüsselung. Wenn du bei Yopass ein Passwort eingibst, wird es direkt in deinem Browser verschlüsselt (per OpenPGP), noch bevor es überhaupt an den Server übertragen wird. Der Schlüssel zum Entschlüsseln verlässt dein Gerät nie.
Auf dem Server liegt also nur ein verschlüsselter Datensatz, mit dem niemand etwas anfangen kann — auch der Anbieter selbst nicht. Erst wenn der Empfänger den Link öffnet, wird der Inhalt in seinem Browser wieder entschlüsselt und angezeigt.
Dazu kommen mehrere clevere Sicherheitsmechanismen:
- Einmal abrufbar: Jeder Link funktioniert nur ein einziges Mal. Nach dem Öffnen ist das Geheimnis weg — ein zweiter Aufruf zeigt nichts mehr.
- Selbstzerstörung mit Ablaufdatum: Du legst fest, wie lange der Link gültig ist (Stunden, Tage oder Wochen). Wird er bis dahin nicht geöffnet, löscht sich der Inhalt automatisch.
- Optionaler Zusatzschlüssel: Auf Wunsch kannst du das Geheimnis zusätzlich mit einem eigenen Passwort schützen, das du dem Empfänger über einen zweiten Kanal mitteilst.
So bleibt selbst dann alles sicher, wenn der Link einmal in falsche Hände geraten sollte.
So teilst du ein Passwort mit Yopass
In der Praxis ist es in wenigen Sekunden erledigt:
- Öffne share.yopass.se und gib das Passwort oder den geheimen Text ein.
- Wähle eine Ablaufzeit und optional einen zusätzlichen Verschlüsselungsschlüssel.
- Klick auf „Verschlüsseln” — du bekommst einen einmaligen Link.
- Schick diesen Link an den Empfänger, zum Beispiel per Chat oder E-Mail.
Der Clou: Selbst wenn dieser Link später in einer E-Mail oder einem Chat auftaucht, ist er nach dem ersten Öffnen wertlos. Und weil das eigentliche Passwort nie im Klartext verschickt wurde, bleibt es geschützt. Für noch mehr Sicherheit teilst du den optionalen Zusatzschlüssel über einen anderen Weg als den Link selbst.
Selbst hosten oder die öffentliche Version nutzen?
Für den schnellen, gelegentlichen Einsatz reicht die öffentliche Instanz unter share.yopass.se völlig aus. Weil Yopass aber quelloffen ist (unter der Apache-2.0-Lizenz), kannst du es auch selbst hosten — etwa als Docker-Container auf deinem eigenen Server.
Das lohnt sich vor allem, wenn du regelmäßig hochsensible Zugangsdaten teilst und die volle Kontrolle behalten möchtest: Dann laufen die verschlüsselten Daten ausschließlich über deine eigene, DSGVO-konforme Infrastruktur. Gerade im professionellen Umfeld ist eine eigene Instanz ein sinnvoller Baustein — passend zu einem sauber aufgesetzten Hosting.
Warum das gerade rund um deine Webseite wichtig ist
Sobald eine Webseite betreut, umgezogen oder erweitert wird, müssen Zugangsdaten den Besitzer wechseln: WordPress-Logins, Hosting- und FTP-Zugänge, Domain-Verwaltung, Shop-Konten. Genau hier ist sicheres Teilen kein „Nice-to-have”, sondern Pflicht — ein durchgesickerter Admin-Zugang kann eine ganze Seite gefährden.
Ein typisches Beispiel: Ein neuer Kunde beauftragt mich mit der Betreuung seiner bestehenden Seite. Statt mir die WordPress- und Hosting-Zugänge per E-Mail zu schicken — wo sie danach für immer im Postfach liegen — bekommt er einen einmaligen Yopass-Link. Ich rufe die Daten einmal ab, danach sind sie unwiderruflich weg. Kein Passwort, das später noch irgendwo im Klartext herumliegt.
Ich nutze für den Austausch von Zugangsdaten mit Kunden deshalb konsequent verschlüsselte, einmalige Links statt E-Mail-Anhänge oder Chatnachrichten. Das ist einer von vielen kleinen, aber wichtigen Bausteinen professioneller WordPress-Wartung und Betreuung: Sicherheit fängt nicht erst bei der Technik der Webseite an, sondern schon beim Umgang mit den Schlüsseln dazu.
Fazit
Passwörter gehören nicht ungeschützt in E-Mails oder Chats — dort bleiben sie dauerhaft angreifbar. Mit einem Tool wie Yopass teilst du Zugangsdaten stattdessen verschlüsselt, nur einmal abrufbar und mit automatischer Selbstzerstörung. Das kostet dich wenige Sekunden mehr, schließt aber eine Sicherheitslücke, die viele gar nicht auf dem Schirm haben.
Mein Tipp: Nimm dir einmal kurz die Zeit, Yopass auszuprobieren — und mach es zur Gewohnheit, Passwörter nie wieder im Klartext zu verschicken. Du hast Fragen zur Sicherheit deiner Webseite oder brauchst jemanden, der sich zuverlässig darum kümmert? Lass uns unverbindlich darüber sprechen.
Häufige Fragen
Ist Yopass kostenlos?
Ja. Yopass ist quelloffen (Apache-2.0-Lizenz) und über die öffentliche Instanz share.yopass.se kostenlos nutzbar. Für besonders sensible Daten lässt es sich zudem selbst hosten — etwa per Docker auf dem eigenen Server.
Kann der Anbieter meine Passwörter mitlesen?
Nein. Die Verschlüsselung findet direkt in deinem Browser statt (per OpenPGP), bevor die Daten überhaupt zum Server gesendet werden. Der Schlüssel verlässt dein Gerät nicht. Der Server speichert also nur einen verschlüsselten Datensatz, den er selbst nicht entschlüsseln kann.
Was passiert, wenn der Empfänger den Link nicht öffnet?
Dann wird das Geheimnis nach der eingestellten Ablaufzeit (Stunden, Tage oder Wochen) automatisch gelöscht. Öffnet der Empfänger den Link, wird der Inhalt einmal angezeigt und danach ebenfalls sofort vernichtet — ein zweiter Aufruf zeigt nichts mehr.
Kann ich mit Yopass auch Dateien teilen?
Ja. Neben reinem Text lassen sich auch Dateien verschlüsselt hochladen und teilen. Auch hier gilt das Prinzip: verschlüsselt im Browser, einmalig abrufbar und mit Ablaufdatum versehen.