WWPass gibt jedem Nutzer einen eindeutigen Schlüssel (UserID) und einen weiteren eindeutigen Schlüssel an die einzelnen Serviceanbieter (genannt SPID - Service Provider ID). Die SPID wird dann für jede Anwendung des Anbieters genutzt, um ihre Nutzer zu authentifizieren.
WWPass erstellt separate Datencontainer, diese enthalten die Nutzerregistrierungen einer bestimmten Webseite oder Anwendung. Jedes SPID-UserID-Paar befindet sich isoliert in einem Datencontainer. Um diesen Container zu öffnen, werden beide Schlüssel benötigt: Der Schlüssel des Nutzers mit seiner UserID und der des Serviceanbieters mit seiner SPID. Tatsächlich wird die Adresse des Datencontainers mit einer Einwegfunktion aus SPID und UserID berechnet. Eine weitere Einwegfunktion verschlüsselt den Inhalt des Containers. Und zusätzlich liegt der Datencontainer zu keiner Zeit nur auf einem Server, sondern wird von WWPass mit Hilfe eines Reed-Solomon-Codes über verschiedene Speicherknoten verteilt.
Jede Kombination einer UserID und einer Service Provider ID entschlüsselt einen speziellen Datencontainer. Das macht Überschneidungen zwischen Datensätzen unmöglich, verringert und verteilt Angriffsflächen über das gesamte Netzwerk. Für ein höheres Sicherheitslevel können Nutzer zusätzlich um ein Passwort als Ergänzung zu ihrem Schlüssel gebeten werden (und so Zwei-Faktor-Authentifizierung nutzen).