Htpasswd ジェネレータ

Htpasswd ジェネレータの機能

• 01

  Bcrypt、Apache MD5、SHA

  最新の $2y$ bcrypt ハッシュ（調整可能なコスト係数付き）、従来のソルト付き Apache MD5（APR1）、または レガシー {SHA} ダイジェストを生成 — サーバーが必要とするものに対応。出力は Apache htpasswd コマンドと完全に互換性があります。

• 02

  行をコピーするか、ファイルをダウンロード

  完全な username:hash 行をコピーして既存の .htpasswd を更新するか、新しい .htpasswd ファイルをダウンロードしてサーバーに直接デプロイしてください。ソルト付きスキームは実行のたびに新しいランダムソルトを生成します。

• 03

  100% ブラウザで実行

  すべてのハッシング処理がデバイス上でローカルで発生します。ユーザー名、パスワード、またはハッシュはサーバーに送信されないため、本番サイトの認証情報を安全に生成でき、流出の心配はありません。

Htpasswd ジェネレータのよくある質問

.htpasswd ファイルとは何ですか？

.htpasswd ファイルは、Apache や Nginx などのウェブサーバー上の HTTP 基本認証用のユーザー名とハッシュ化されたパスワードを保存します。各行の形式は username:hash です。サーバーはこれらのハッシュに対して送信された認証情報をチェックし、ディレクトリまたはサイトを保護します。

どのハッシュタイプを使用すべきですか？

bcrypt を使用してください — これは最も安全なオプションで、内蔵ソルトと調整可能なコスト係数があり、ブルートフォース攻撃に強い です。Apache MD5（APR1）もソルト付きで、古いセットアップでは引き続き広くサポートされています。レガシー互換性を除き、SHA-1（{SHA}）は避けてください。ソルトなしで弱いと考えられているため です。

Nginx は .htpasswd ファイルをサポートしていますか？

はい。Nginx は auth_basic と auth_basic_user_file ディレクティブを使用して同じ htpasswd 形式を読み込みます。Bcrypt と Apache MD5（APR1）エントリの両方が機能し、プレーン SHA-1 も受け入れられます。

bcrypt コスト係数とは何ですか？

コスト（またはワークファクタ）は bcrypt が実行するラウンド数を制御します — 1 増加するたびに作業が倍になります。コスト 10～12 はほとんどのサーバーのセキュリティと速度のバランスが良いです。より高い値はブルートフォース攻撃に強いですが、ログイン時の検証が遅くなります。

ここでパスワードを生成するのは安全ですか？

はい。ハッシュはローカル JavaScript と Web Crypto API を使用してブラウザで完全に計算されます — 何も送信、ログ、または保存されません。生成されたハッシュ（パスワードに戻すことはできません）のみが、コピーするときにスクリーン外に出ます。

生成された行を Apache で使用するにはどうすればよいですか？

username:hash 行を .htpasswd ファイルに追加し、.htaccess または仮想ホストで AuthType Basic、AuthName、AuthUserFile ディレクティブでそれを指定します。Apache をリロードすると、保護されたディレクトリで生成した認証情報の入力を求めるプロンプトが表示されます。