.htpasswd Generator - Verzeichnisschutz für deine Website
Der sichere .htpasswd Generator. Mit den .htaccess und .htpasswd Dateien kannst du eine ganze Website oder nur einzelne Verzeichnisse vor Besuchern und Suchmaschinen schützen. Apache spricht dabei von der Basic Authentification (einfachen Authentifizierung).
Der .htpasswd Generator erstellt die notwendige Verschlüsselung deiner Passwörter, damit du in Verbindung mit der .htaccess Datei einen Verzeichnisschutz für deine Website erstellen kannst. Der Browser stellt das Formular für die Passwortabfrage bereit. Darunter findest du die Anleitung.
Diese Seite enthält eine JavaScript-Portierung des Dienstprogramms htpasswd
des Apache-Servers. Um deine Privatsphäre zu gewährleisten, ist keine serverseitige Berechnung beteiligt, deine Daten bleiben stets in deinem Browser.
.htpasswd Generator
... dein .htpasswd Inhalt erscheint hier
Füge das Ergebnis in deine .htpasswd Datei auf deinem Webserver ein.
Diese App funktioniert vollständig clientseitig. Deine Passwörter werden nicht an unseren Server übertragen.
So richtest du den Passwortschutz mittels .htaccess und .htpasswd ein.
Mein Tutorial: Webserver-Verzeichnisse mit Passwort schützen:
Schritt 1: .htaccess erstellen oder bearbeiten
Die Apache HTTP Server Konfigurationsdatei .htacccss
(deutsch „Hypertext-Zugriff“) ermöglicht dem Benutzer Direktiven an den Webserver zu übergeben. Ein Anwendungsfall ist der Verzeichnisschutz, wo in der .htaccess-Datei die Einstellungen vorgenommen werden und in der .htpasswd-Datei die Benutzer und Passwörter gespeichert werden.
Setup für Apache und nginx
Anschließend findest du die minimale Konfiguration für den Passwortschutz für die Webserver Apache und nginx:
Apache .htaccess Datei
AuthUserFile /pfad/zur/.htpasswd
AuthName "Passwortgeschützt!"
AuthType Basic
Require valid-user
nginx Passwort Setup
location / {
auth_basic "Passwortgeschützt!";
auth_basic_user_file /pfad/zur/.htpasswd;
}
Kopiere die vier Zeilen darüber in deine .htaccess-Datei.
- Möchtest du die ganze Website schützen, muss die .htaccess Datei in das Root-Verzeichnis deiner Website.
- Möchtest du nur ein bestimmtes Verzeichnis schützen, muss die .htaccess Datei in dieses bestimmte Verzeichnis.
ACHTUNG: Der Pfad zur .htpasswd muss vom Dateisystem-Root weg angegeben werden.
Richtig: /var/www/vhosts/user/domain.com/.htpasswd
Falsch: /domain.com/.htpasswd
Schritt 2: .htpasswd erstellen
Erstelle eine Datei namens „.htpasswd“ und lege sie in einem anderen Verzeichnis als die .htaccess
ab. Am besten außerhalb des Document-Roots, damit über den Webserver gar nicht darauf zugegriffen werden kann.
Nun generiere die .htpasswd weiter oben mit deinem Benutzernamen und Passwort. Das Ergebnis fügst du mit einem Editor in die neue Datei ein. Mehrere Benutzer fügst du einfach untereinander ein:
franz:$2a$10$FD5dzX8liCeBzL002HiqMus9mLYJIjc0Srl5K/iUegyFn0b4gLoSG
hans:$2a$10$NdTiWGPcgCcc1Te2U.LgPe6533PZkC1ILMZwFrFw/1gVtkLcFlvfq
INFO: Der Name .htpasswd ist nicht zwingend. Du kannst frei z.B. .passwd
verwenden.
Schritt 3: Testen oder deaktivieren
Der Passwortschutz ist aktiv, sobald du die .htaccess geändert und gespeichert hast.
Erst wenn du auch die verschlüsselten Passwörter in der .htpasswd gespeichert hast, können Besucher auch auf die geschützten Verzeichnisse zugreifen. Vergiss nie deine Logins zu testen!
Den Schutz deaktivierst du, indem du die vier eingefügten Zeilen in der .htaccess löschst. Alternativ für später mittels „#“ auskommentieren. Beispiel:
#AuthUserFile /pfad/zur/.htpasswd
#AuthName "Passwortgeschützt!"
#AuthType Basic
#Require valid-user
Erfahre, wie du nur deine wp-login.php Datei mit einem Passwort schützt.
.htpasswd Generator Infografik
Auf der rechten Seite findest du eine übersichtliche Infografik, wo in 3 Schritten das Verzeichnisschutz erstellen gezeigt wird.
Technische Informationen zum Verzeichnisschutz
Wichtig zu wissen ist, dass die Passwort-Hash-Funktionen keine Verschlüsselung darstellen. Die meisten älteren Algos gelten heute als unsicher. Zu empfehlen ist nur mehr der bcrypt-Algorithmus, der im .htpasswd Generator als Standard ausgewählt ist.
Hashing-Algorithmen
FORMAT | Beschreibung |
---|---|
bcrypt | $2y$ oder $2a$ + das Ergebnis des crypt_blowfish-Algorithmus. Dieser Algorithmus gilt derzeit als sehr sicher. Bcrypt-Hashes sind sehr langsam zu berechnen (was einer der Gründe ist, warum sie sicher sind). |
MD5 | „$apr1$“ + das Ergebnis eines Apache-spezifischen Algorithmus, der einen iterierten (1.000-mal) MD5-Digest aus verschiedenen Kombinationen eines zufälligen 32-Bit-Salts und des Passworts verwendet. Standard aber unsicher. |
SHA1 | „{SHA}“ + Base64-kodierter SHA-1-Digest des Kennworts. Unsicher. |
Salted SHA1 | „{SSHA}“ + Die Verwendung von Salt macht es aufwändiger, eine Liste von Passwörtern zu knacken. Es macht jedoch Wörterbuchangriffe beim Knacken eines einzelnen Passworts nicht schwieriger. Gilt als unsicher. |
Plain Text | Klartext-Passwörter. |
Dieser .htpasswd Generator nutzt die crypto-js und die bcrypt-js Bibliotheken für die Berechnung der Hash-Codes.