Генератор htpasswd

Генератор htpasswd — можливості

• 01

  Bcrypt, Apache MD5 та SHA

  Генеруйте сучасний хеш bcrypt $2y$ з налаштовуваним коефіцієнтом вартості, класичний сольований Apache MD5 (APR1) або застарілий дайджест {SHA} — все, що очікує ваш сервер. Вихід повністю сумісний з командою Apache htpasswd.

• 02

  Скопіюйте рядок або завантажте файл

  Скопіюйте повний рядок username:hash для вашого існуючого .htpasswd або завантажте новий файл .htpasswd, який можна відразу розмістити на сервері. Сольовані схеми отримують нову випадкову сіль при кожному запуску.

• 03

  100% у вашому браузері

  Усе хешування відбувається локально на вашому пристрої. Ім'я користувача, пароль або хеш ніколи не відправляються на сервер, тому ви можете безпечно створювати облікові дані для робочих сайтів без їх розкриття.

Генератор htpasswd — часті запитання

Що таке файл .htpasswd?

Файл .htpasswd зберігає імена користувачів та хеширані паролі для HTTP Basic Authentication на веб-серверах, таких як Apache та Nginx. Кожен рядок має формат username:hash. Сервер перевіряє відправлені облікові дані щодо цих хешів для захисту каталогу або сайту.

Який тип хеша мне використовувати?

Використовуйте bcrypt — це найбезпечніший варіант з вбудованою сіллю та налаштовуваним коефіцієнтом вартості, стійкий до брутфорсу. Apache MD5 (APR1) сольований і все ще широко підтримується для старіших налаштувань. Уникайте SHA-1 ({SHA}) крім випадків сумісності зі старим кодом, оскільки він не має солі та вважається слабким.

Чи підтримує Nginx файли .htpasswd?

Так. Nginx читає той же формат htpasswd через директиви auth_basic та auth_basic_user_file. Записи bcrypt та Apache MD5 (APR1) працюють обидва; простий SHA-1 також приймається.

Що таке коефіцієнт вартості bcrypt?

Коефіцієнт вартості (або коефіцієнт роботи) контролює, скільки раундів виконує bcrypt — кожне збільшення подвоює роботу. Вартість 10–12 — це хороший баланс безпеки та швидкості для більшості серверів. Вищі значення більш стійкі до брутфорсу, але повільніші при перевірці при кожному вході.

Чи безпечно генерувати пароль тут?

Так. Хеш обчислюється повністю у вашому браузері за допомогою локального JavaScript та Web Crypto API — нічого не передається, не логується та не зберігається. Тільки результуючий хеш, який не можна обернути назад у ваш пароль, коли-небудь залишає ваш екран при його копіюванні.

Як мне використовувати створений рядок у Apache?

Додайте рядок username:hash до вашого файлу .htpasswd, потім укажіть його у Apache з директивами AuthType Basic, AuthName та AuthUserFile у вашому .htaccess або віртуальному хості. Перезавантажте Apache, і захищений каталог потребуватиме облікові дані, які ви створили.