Генератор htpasswd

Генератор htpasswd — возможности

• 01

  Bcrypt, Apache MD5 и SHA

  Создавайте современный хеш bcrypt $2y$ с настраиваемым коэффициентом стоимости, классический салтированный Apache MD5 (APR1) или устаревший дайджест {SHA} — всё, что ожидает ваш сервер. Выход совместим байт в байт с командой Apache htpasswd.

• 02

  Копируйте строку или загружайте файл

  Скопируйте полную строку username:hash для вашего существующего .htpasswd или загрузите новый файл .htpasswd, который можно сразу разместить на сервере. Салтированные схемы получают новую случайную соль при каждом запуске.

• 03

  100% в вашем браузере

  Все хеширование происходит локально на вашем устройстве. Имя пользователя, пароль или хеш никогда не отправляются на сервер, так что вы можете безопасно создавать учётные данные для рабочих сайтов без их раскрытия.

Генератор htpasswd — частые вопросы

Что такое файл .htpasswd?

Файл .htpasswd хранит имена пользователей и хешированные пароли для HTTP Basic Authentication на веб-серверах, таких как Apache и Nginx. Каждая строка имеет формат username:hash. Сервер проверяет отправленные учётные данные с учётом этих хешей для защиты директории или сайта.

Какой тип хеша мне использовать?

Используйте bcrypt — это самый безопасный вариант с встроенной солью и настраиваемым коэффициентом стоимости, устойчивый к перебору. Apache MD5 (APR1) салтирован и по-прежнему широко поддерживается для более старых конфигураций. Избегайте SHA-1 ({SHA}) кроме случаев совместимости со старым кодом, так как он не имеет соли и считается слабым.

Поддерживает ли Nginx файлы .htpasswd?

Да. Nginx читает тот же формат htpasswd через директивы auth_basic и auth_basic_user_file. Записи bcrypt и Apache MD5 (APR1) работают оба; простой SHA-1 также принимается.

Что такое коэффициент стоимости bcrypt?

Коэффициент стоимости (или фактор работы) контролирует, сколько раундов выполняет bcrypt — каждое увеличение удваивает работу. Стоимость 10–12 — это хороший баланс безопасности и скорости для большинства серверов. Более высокие значения более устойчивы к перебору, но медленнее при проверке при каждом входе.

Безопасно ли создавать пароль здесь?

Да. Хеш вычисляется полностью в вашем браузере с помощью локального JavaScript и Web Crypto API — ничего не передаётся, не логируется и не хранится. Только результирующий хеш, который не может быть обращён обратно в ваш пароль, когда-либо покидает ваш экран при его копировании.

Как мне использовать созданную строку в Apache?

Добавьте строку username:hash в ваш файл .htpasswd, затем укажите её в Apache с директивами AuthType Basic, AuthName и AuthUserFile в вашем .htaccess или виртуальном хосте. Перезагрузите Apache, и защищённая директория будет требовать учётные данные, которые вы создали.