.htpasswd Generator - Verzeichnisschutz für deine Website

Der sichere .htpasswd Generator. Mit den .htaccess und .htpasswd Dateien kannst du eine ganze Website oder nur einzelne Verzeichnisse vor Besuchern und Suchmaschinen schützen. Apache spricht dabei von der Basic Authentification (einfachen Authentifizierung).

Diese Seite enthält eine JavaScript-Portierung des Dienstprogramms htpasswd des Apache-Servers. Um deine Privatsphäre zu gewährleisten, ist keine serverseitige Berechnung beteiligt, deine Daten bleiben stets in deinem Browser.

.htpasswd Generator

Dein Benutzername

Dein gewünschtes Passwort

Wähle einen Algorithmus (optional)

... dein .htpasswd Inhalt erscheint hier

Füge das Ergebnis in deine .htpasswd Datei auf deinem Webserver ein.

Diese App funktioniert vollständig clientseitig. Deine Passwörter werden nicht an unseren Server übertragen.

So richtest du den Passwortschutz mittels .htaccess und .htpasswd ein.
Mein Tutorial: Webserver-Verzeichnisse mit Passwort schützen:

Schritt 1: .htaccess erstellen oder bearbeiten

Die Apache HTTP Server Konfigurationsdatei .htacccss (deutsch „Hypertext-Zugriff“) ermöglicht dem Benutzer Direktiven an den Webserver zu übergeben. Ein Anwendungsfall ist der Verzeichnisschutz, wo in der .htaccess-Datei die Einstellungen vorgenommen werden und in der .htpasswd-Datei die Benutzer und Passwörter gespeichert werden.

Setup für Apache und nginx

Anschließend findest du die minimale Konfiguration für den Passwortschutz für die Webserver Apache und nginx:

Apache .htaccess Datei

AuthUserFile /pfad/zur/.htpasswd
AuthName "Passwortgeschützt!"
AuthType Basic
Require valid-user

nginx Passwort Setup

location / {
  auth_basic "Passwortgeschützt!";
  auth_basic_user_file /pfad/zur/.htpasswd;
}

Kopiere die vier Zeilen darüber in deine .htaccess-Datei.

  • Möchtest du die ganze Website schützen, muss die .htaccess Datei in das Root-Verzeichnis deiner Website.
  • Möchtest du nur ein bestimmtes Verzeichnis schützen, muss die .htaccess Datei in dieses bestimmte Verzeichnis.

ACHTUNG: Der Pfad zur .htpasswd muss vom Dateisystem-Root weg angegeben werden.
Richtig: /var/www/vhosts/user/domain.com/.htpasswd
Falsch: /domain.com/.htpasswd

Schritt 2: .htpasswd erstellen

Erstelle eine Datei namens „.htpasswd“ und lege sie in einem anderen Verzeichnis als die .htaccess ab. Am besten außerhalb des Document-Roots, damit über den Webserver gar nicht darauf zugegriffen werden kann.

Nun generiere die .htpasswd weiter oben mit deinem Benutzernamen und Passwort. Das Ergebnis fügst du mit einem Editor in die neue Datei ein. Mehrere Benutzer fügst du einfach untereinander ein:

franz:$2a$10$FD5dzX8liCeBzL002HiqMus9mLYJIjc0Srl5K/iUegyFn0b4gLoSG
hans:$2a$10$NdTiWGPcgCcc1Te2U.LgPe6533PZkC1ILMZwFrFw/1gVtkLcFlvfq

INFO: Der Name .htpasswd ist nicht zwingend. Du kannst frei z.B. .passwd verwenden.

Schritt 3: Testen oder deaktivieren

Der Passwortschutz ist aktiv, sobald du die .htaccess geändert und gespeichert hast.

Apache Verzeichnisschutz im Chrome Browser. .htpasswd Generator
Apache Verzeichnisschutz im Chrome Browser

Erst wenn du auch die verschlüsselten Passwörter in der .htpasswd gespeichert hast, können Besucher auch auf die geschützten Verzeichnisse zugreifen. Vergiss nie deine Logins zu testen!

Den Schutz deaktivierst du, indem du die vier eingefügten Zeilen in der .htaccess löschst. Alternativ für später mittels „#“ auskommentieren. Beispiel:

#AuthUserFile /pfad/zur/.htpasswd
#AuthName "Passwortgeschützt!"
#AuthType Basic
#Require valid-user

Erfahre, wie du nur deine wp-login.php Datei mit einem Passwort schützt.

.htpasswd Generator Infografik

Auf der rechten Seite findest du eine übersichtliche Infografik, wo in 3 Schritten das Verzeichnisschutz erstellen gezeigt wird.

Technische Informationen zum Verzeichnisschutz

Wichtig zu wissen ist, dass die Passwort-Hash-Funktionen keine Verschlüsselung darstellen. Die meisten älteren Algos gelten heute als unsicher. Zu empfehlen ist nur mehr der bcrypt-Algorithmus, der im .htpasswd Generator als Standard ausgewählt ist.

Hashing-Algorithmen

FORMAT Beschreibung
bcrypt$2y$ oder $2a$ + das Ergebnis des crypt_blowfish-Algorithmus. Dieser Algorithmus gilt derzeit als sehr sicher. Bcrypt-Hashes sind sehr langsam zu berechnen (was einer der Gründe ist, warum sie sicher sind).
MD5„$apr1$“ + das Ergebnis eines Apache-spezifischen Algorithmus, der einen iterierten (1.000-mal) MD5-Digest aus verschiedenen Kombinationen eines zufälligen 32-Bit-Salts und des Passworts verwendet. Standard aber unsicher.
SHA1„{SHA}“ + Base64-kodierter SHA-1-Digest des Kennworts. Unsicher.
Salted SHA1„{SSHA}“ + Die Verwendung von Salt macht es aufwändiger, eine Liste von Passwörtern zu knacken. Es macht jedoch Wörterbuchangriffe beim Knacken eines einzelnen Passworts nicht schwieriger. Gilt als unsicher.
Plain TextKlartext-Passwörter.
.htpasswed generieren Infografik
.htpasswd Generator
.htpasswd Generator – für deinen Verzeichnisschutz

Dieser .htpasswd Generator nutzt die crypto-js und die bcrypt-js Bibliotheken für die Berechnung der Hash-Codes.