search

Found

info Aperçu

Générez des entrées .htpasswd pour l'authentification Basic via bcrypt, MD5 ou SHA-1. Mode bulk user:pass inclus.

📘 Mode d'emploi

  1. Sélectionner le mode de saisie (Unique ou En lot) et l'algorithme de hachage souhaité (Bcrypt, MD5 ou SHA-1)
  2. Saisir le nom d'utilisateur et le mot de passe dans les champs dédiés, ou coller une liste au format utilisateur:mot_de_passe pour le mode en lot

Générateur .htpasswd

Créez des entrées .htpasswd avec bcrypt, MD5 ou SHA-1 dans le navigateur

Article

Générateur .htpasswd en ligne | Création sécurisée pour authentification Basic

Générez instantanément des identifiants au format .htpasswd pour protéger l'accès à vos répertoires web via l'authentification Basic (Apache, Nginx). Conçu pour les développeurs et les administrateurs système, cet outil offre une conversion rapide, sécurisée et directement dans le navigateur.

💡 Aperçu de l'outil

  • Sécurité côté client (Conformité RGPD) : Le traitement cryptographique est effectué exclusivement dans votre navigateur (via les bibliothèques BcryptJS et CryptoJS). Aucune donnée, aucun identifiant ni mot de passe n'est envoyé vers un serveur distant.
  • Prise en charge multi-algorithmes : Choisissez entre Bcrypt (fortement recommandé, cost=10), MD5 (format standard historique d'Apache) et SHA-1 (généré avec le préfixe {SHA}).
  • Mode par lot (Bulk Mode) : Idéal pour les migrations ou la gestion d'équipes. Saisissez ou collez plusieurs lignes au format utilisateur:mot_de_passe pour générer un fichier complet en une seule opération.
  • Génération instantanée : Les hashs sont calculés dès la saisie, directement dans le navigateur et sans rechargement de la page.

🧐 Foire aux questions (FAQ)

Q. Quel algorithme de hachage dois-je privilégier pour mon serveur web ?

A. Sauf contrainte technique spécifique, Bcrypt est le standard actuel à privilégier. Contrairement à MD5 ou SHA-1 qui sont considérés comme obsolètes et vulnérables aux collisions ou attaques rapides, Bcrypt intègre un sel (salt) aléatoire et un coût de calcul (rounds) qui ralentit considérablement les attaques par force brute. N'utilisez MD5 ou SHA-1 que si vous dépendez de systèmes hérités (legacy) qui ne supportent pas Bcrypt.

Q. Comment intégrer le résultat généré sur Apache ou Nginx ?

A. Pour Apache, placez la chaîne générée dans un fichier .htpasswd (situé de préférence en dehors de votre dossier public_html ou var/www pour éviter tout accès direct), puis configurez votre .htaccess avec les directives AuthType Basic et AuthUserFile. Pour Nginx, utilisez la directive auth_basic_user_file dans votre bloc location ou server.

📚 Bonnes pratiques d'implémentation pour l'authentification Basic

Bien que la mise en place d'une protection par .htpasswd soit une méthode simple et efficace pour restreindre l'accès à des environnements de pré-production, des interfaces d'administration ou des dossiers privés, elle requiert une configuration stricte. L'authentification Basic HTTP transmet les identifiants codés en Base64 (et non chiffrés) dans les en-têtes de la requête. Il est donc absolument impératif de n'utiliser cette méthode que sur des connexions sécurisées par SSL/TLS (HTTPS) pour empêcher l'interception des mots de passe en clair sur le réseau.

Sur le plan système, assurez-vous de restreindre les droits de lecture du fichier .htpasswd généré au niveau de l'OS. Un réglage des permissions à chmod 640 ou 600, avec comme propriétaire l'utilisateur exécutant le processus web (par exemple www-data sous Debian/Ubuntu), est une norme standard pour éviter qu'un autre utilisateur du système ne puisse lire les hashs.