bcrypt vs. MD5 APR1 vs. SHA-1?

**Die Algorithmus-Wahl** hängt vom Serveralter und den Anforderungen ab: - **bcrypt**: moderner Standard, langsam (50-200 ms pro Hash) mit konfigurierbarem Cost, **resistent gegen Brute-Force und GPU** - **MD5 APR1** (`$apr1$`): Apache-Klassiker von 1995, 1000 Iterationen MD5 + Salt; **deutlich schneller** als bcrypt (1 ms) und damit **schwächer** gegen Brute-Force - **SHA-1** (`{SHA}`): einzelne Runde, kein Salt, **in Stunden geknackt** **Nutze bcrypt** für neue Setups; MD5 APR1, wenn der Server alt ist; SHA-1 nur auf Nginx, wenn du minimale CPU-Last brauchst.

Warum ist bcrypt "besser", wenn es langsamer ist?

**Langsamer Hash = schwerere Brute-Force**. SHA-1 läuft in **0,0001 ms**, Angreifer probieren **10 Mrd. Passwörter/s**. **bcrypt cost=10** braucht **50 ms**, Angreifer schaffen **200/s**, also **50 Milliarden Mal langsamer**. Für normale Nutzer sind 50 ms beim Login **unmerklich**; für einen Angreifer mit Billionen Passwörtern bedeutet das **"Minuten" vs. "Jahre"**.

Welchen bcrypt-Cost soll ich wählen?

**Standard 2024-2026**: **cost=10** (~50-100 ms). Für Banking / Secrets-Management: **cost=12** (~400 ms) oder **14** (~1,5 s). **cost=4-8 ist gefährlich schnell, NICHT benutzen**. Nicht über 14 hinaus, außer du akzeptierst mehrere Sekunden Login-Zeit. **Hinweis**: der bcrypt-Cost ist im Hash codiert (`$2y$10$...`), Cost ändern erfordert **alle Passwörter neu zu hashen**.

Funktioniert das mit Nginx?

**Ja**. Nginx liest das Apache-htpasswd-Format **nativ** per `auth_basic_user_file /path/to/.htpasswd`. Akzeptiert alle 3 Algorithmen aus unserem Generator. **Für ein neues reines Nginx-Setup ist bcrypt die beste Wahl**.

Erreicht mein Passwort den Server?

**Nein**. Die gesamte Logik (**bcrypt, MD5 APR1, SHA-1**) läuft in deinem Browser. **bcrypt** über **bcryptjs** (Pure JS), **MD5 APR1** über **hash-wasm**, **SHA-1** über die **Web Crypto API**. **DevTools → Netzwerk** = keine Requests mit dem Passwort.

Wo lege ich die .htpasswd-Datei ab?

**AUSSERHALB des Document Root** (z. B. `/etc/apache2/passwords/.htpasswd` auf Debian/Ubuntu, **NICHT** `/var/www/html/.htpasswd`, wo jemand sie über HTTP abrufen könnte). **Rechte**: `chmod 640`, **Owner=root, Group=www-data** (oder nginx). Apache liest sie über `AuthUserFile`, Nginx genauso über `auth_basic_user_file`.

Wie füge ich mehrere Nutzer hinzu?

**Jeder Nutzer = EINE Zeile** in der Datei. Erzeuge pro Nutzer einen Eintrag (Benutzername + Passwort ändern, neue Zeile kopieren), füge alle Zeilen in **dieselbe Datei** ein. Apache/Nginx scannt jede Zeile und sucht den passenden Benutzernamen. **Bash-Alternative**: eine Schleife mit `htpasswd -B file user pass` pro Paar.

.htpasswd Datei-Generator - kostenlos

Generierte Zeile

Benutzername und Passwort eingeben, um die Zeile zu erzeugen.

Benutzername

Passwort

Algorithmus

tools.htpasswd.algoHint_bcrypt

bcrypt Cost (2^10)

Das Hashen passiert lokal. Dein Passwort verlässt den Browser nie.

Wie schütze ich eine Apache- oder Nginx-Seite mit Passwort (Basic Auth)?

Erzeugt einen Eintrag für eine .htpasswd-Datei: die Zeile im Format `user:hash`, fertig zum Einfügen in eine Apache-.htpasswd-Datei oder die `auth_basic_user_file`-Direktive in Nginx.

Unterstützt: bcrypt (empfohlen ab 2024, am stärksten), MD5 APR1 (`$apr1$`, Apache-Klassiker), SHA-1 (`{SHA}`, Nginx-kompatibel).

Alles wird in deinem Browser berechnet, das Passwort verlässt ihn nie.

So nutzt du das Tool

Tippe einen Benutzernamen ein (z. B. "admin", "backup_user").

Tippe das Passwort ein, der Hash wird sofort im Browser berechnet.

Wähle den Algorithmus: bcrypt (am stärksten, ~50 ms pro Hash, Apache 2.4+ und Nginx 1.10+), MD5 APR1 (Apache-Klassiker, funktioniert überall), SHA-1 (nur Nginx, schwächster, aber schnellster).

Bei bcrypt den Cost (4-14) einstellen. Standard 10 ist die Balance zwischen Sicherheit und Login-Latenz (~50 ms Verifizierung). 12+ für sicherheitskritische Apps.

Kopiere die Zeile oder lade sie als .htpasswd herunter. Lade sie auf den Server in einen sicheren Pfad außerhalb des Document Root und verweise per Apache (`AuthUserFile`) oder Nginx (`auth_basic_user_file`) darauf.

Wann das hilfreich ist

Fünf typische Situationen, in denen Basic Auth mit .htpasswd zu 100% ausreicht:

Statische Seite gegen Indexierung sperren. Basic Auth auf einem Staging-/Test-Panel.
Ein `/admin/`-Verzeichnis in Apache schützen.
Privater Paket-Mirror (Composer, npm). Zugriff nur fürs Team.
Interne Dokumentationsseite. Zugriff auf interne Docs.
CI/CD-Artefakt-Server. Privater Build-Artefakt-Server.

Für größere Setups (10+ Nutzer) lohnt sich ein dedizierter Identity Provider, Basic Auth skaliert schlecht. Einzelner Nutzer oder kleines Team = der ideale Anwendungsfall.

Mit dem Generator kannst du einen Eintrag hinzufügen, ohne die htpasswd-CLI oder Apache-Utils zu installieren.

Fragen und Antworten

Eine Textdatei mit `user:hash`-Zeilen, die Apache und Nginx für HTTP Basic Authentication nutzen. Wenn der Server einen Request mit `Authorization: Basic ...` bekommt, decodiert er user:password, sucht den Nutzer in der Datei und vergleicht den Passwort-Hash mit dem gespeicherten. Ein Standard seit den 1990ern: simpel, aber limitiert (keine Sessions, kein Logout, Passwort wird bei jedem Request base64-codiert mitgeschickt).

Wie schütze ich eine Apache- oder Nginx-Seite mit Passwort (Basic Auth)?

Unterstützt: bcrypt (empfohlen ab 2024, am stärksten), MD5 APR1 (`$apr1$`, Apache-Klassiker), SHA-1 (`{SHA}`, Nginx-kompatibel).

Alles wird in deinem Browser berechnet, das Passwort verlässt ihn nie.

So nutzt du das Tool

Tippe einen Benutzernamen ein (z. B. "admin", "backup_user").

Tippe das Passwort ein, der Hash wird sofort im Browser berechnet.

Bei bcrypt den Cost (4-14) einstellen. Standard 10 ist die Balance zwischen Sicherheit und Login-Latenz (~50 ms Verifizierung). 12+ für sicherheitskritische Apps.

Wann das hilfreich ist

Fünf typische Situationen, in denen Basic Auth mit .htpasswd zu 100% ausreicht:

Statische Seite gegen Indexierung sperren. Basic Auth auf einem Staging-/Test-Panel.
Ein `/admin/`-Verzeichnis in Apache schützen.
Privater Paket-Mirror (Composer, npm). Zugriff nur fürs Team.
Interne Dokumentationsseite. Zugriff auf interne Docs.
CI/CD-Artefakt-Server. Privater Build-Artefakt-Server.

Für größere Setups (10+ Nutzer) lohnt sich ein dedizierter Identity Provider, Basic Auth skaliert schlecht. Einzelner Nutzer oder kleines Team = der ideale Anwendungsfall.

Mit dem Generator kannst du einen Eintrag hinzufügen, ohne die htpasswd-CLI oder Apache-Utils zu installieren.

Fragen und Antworten

.htpasswd Datei-Generator

Wie schütze ich eine Apache- oder Nginx-Seite mit Passwort (Basic Auth)?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

Passwort-Hashes: MD5, SHA, bcrypt

Passwort-Generator

Passwort-Leak-Check

.htpasswd Datei-Generator

Wie schütze ich eine Apache- oder Nginx-Seite mit Passwort (Basic Auth)?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

Passwort-Hashes: MD5, SHA, bcrypt

Passwort-Generator

Passwort-Leak-Check