bcrypt vs MD5 APR1 vs SHA-1 ?

Le **choix d'algorithme** dépend de l'âge du serveur et des exigences : - **bcrypt** : standard moderne, lent (50 à 200 ms par hash) avec coût configurable, **résistant à la force brute et au GPU** - **MD5 APR1** (`$apr1$`) : classique Apache de 1995, 1000 itérations de MD5 + salt ; **bien plus rapide** que bcrypt (1 ms), donc **plus faible** face à la force brute - **SHA-1** (`{SHA}`) : un seul round, sans salt, **cassé en quelques heures** **Utilise bcrypt** pour les nouveaux setups ; MD5 APR1 si le serveur est vieux ; SHA-1 uniquement sur Nginx où tu veux un CPU minimal.

Pourquoi bcrypt est « meilleur » s'il est plus lent ?

**Hash lent = force brute plus difficile**. SHA-1 tourne en **0,0001 ms**, les attaquants essaient **10 milliards de mots de passe/s**. **bcrypt cost=10** prend **50 ms**, les attaquants en font **200/s**, **50 milliards de fois plus lent**. Pour des utilisateurs normaux, 50 ms au login est **imperceptible** ; pour un attaquant avec des trillions de mots de passe à essayer, c'est **« minutes » vs « années »**.

Quel cost bcrypt choisir ?

**Standard 2024-2026** : **cost=10** (environ 50 à 100 ms). Pour banque / gestion de secrets : **cost=12** (environ 400 ms) ou **14** (environ 1,5 s). **cost=4-8 est dangereusement rapide, à NE PAS utiliser**. Ne dépasse pas 14 sauf si tu acceptes des login de plusieurs secondes. **Note** : le cost bcrypt est inscrit dans le hash (`$2y$10$...`), changer le cost demande de **rehasher tous les mots de passe**.

Ça marche avec Nginx ?

**Oui**. Nginx **lit nativement** le format htpasswd d'Apache via `auth_basic_user_file /chemin/vers/.htpasswd`. Accepte les 3 algorithmes de notre générateur. **Pour un nouveau setup Nginx uniquement, bcrypt est le meilleur choix**.

Mon mot de passe arrive-t-il au serveur ?

**Non**. Toute la logique (**bcrypt, MD5 APR1, SHA-1**) tourne dans ton navigateur. **bcrypt** via **bcryptjs** (JS pur), **MD5 APR1** via **hash-wasm**, **SHA-1** via **Web Crypto API**. **DevTools → Network** = aucune requête avec le mot de passe.

Où placer le fichier .htpasswd ?

**EN DEHORS du document root** (par exemple `/etc/apache2/passwords/.htpasswd` sur Debian/Ubuntu, **PAS** `/var/www/html/.htpasswd` où n'importe qui pourrait le récupérer en HTTP). **Permissions** : `chmod 640`, **owner=root, group=www-data** (ou nginx). Apache le lit via `AuthUserFile`, Nginx pareil via `auth_basic_user_file`.

Comment ajouter plusieurs utilisateurs ?

**Chaque utilisateur = UNE ligne** dans le fichier. Génère une entrée par utilisateur (change nom + mot de passe, copie la nouvelle ligne), colle-les toutes dans **le même fichier**. Apache/Nginx scanne chaque ligne et cherche les noms qui correspondent. **Alternative bash** : une boucle appelant `htpasswd -B fichier user pass` pour chaque paire.

Générateur .htpasswd - gratuit

Ligne générée

Entre le nom d'utilisateur et le mot de passe pour générer la ligne.

Nom d'utilisateur

Mot de passe

Algorithme

tools.htpasswd.algoHint_bcrypt

Coût bcrypt (2^10)

Le hachage tourne localement. Ton mot de passe ne quitte jamais le navigateur.

Comment protéger par mot de passe une page Apache ou Nginx (basic auth) ?

Génère une entrée pour un fichier .htpasswd : la ligne au format `user:hash` prête à coller dans un fichier Apache .htpasswd ou dans la directive `auth_basic_user_file` de Nginx.

Supporte : bcrypt (recommandé pour 2024+, le plus robuste), MD5 APR1 (`$apr1$`, classique Apache), SHA-1 (`{SHA}`, compatible Nginx).

Tout est calculé dans ton navigateur, le mot de passe ne sort jamais.

Comment l'utiliser

Tape un nom d'utilisateur (par exemple « admin », « backup_user »).

Tape le mot de passe : le hash est calculé instantanément dans le navigateur.

Choisis l'algorithme : bcrypt (le plus robuste, environ 50 ms par hash, Apache 2.4+ et Nginx 1.10+), MD5 APR1 (classique Apache, marche partout), SHA-1 (Nginx uniquement, le plus faible mais le plus rapide).

Pour bcrypt, règle le coût (4 à 14). Défaut 10 équilibre sécurité et latence de login (environ 50 ms de vérification). 12 et plus pour les applis sensibles.

Copie la ligne ou télécharge en .htpasswd. Upload sur le serveur dans un endroit sûr hors document root et référence depuis Apache (`AuthUserFile`) ou Nginx (`auth_basic_user_file`).

Quand c'est utile

Cinq situations typiques où la basic auth avec .htpasswd suffit largement :

Verrouiller un site statique contre l'indexation. Basic auth sur un panneau de staging/test.
Protéger un répertoire `/admin/` dans Apache.
Miroir de packages privé (Composer, npm). Accès réservé à l'équipe.
Site de documentation interne. Accès aux docs internes.
Serveur d'artifacts CI/CD. Serveur d'artifacts de build privés.

Pour des setups plus gros (10+ utilisateurs), envisage un identity provider dédié : la basic auth scale mal. Un seul utilisateur ou petite équipe = le cas d'usage idéal.

Le générateur permet d'ajouter une entrée sans installer le CLI htpasswd ou les utils Apache.

Questions et réponses

Un fichier texte avec des lignes `user:hash`, utilisé par Apache et Nginx pour l'authentification HTTP basic. Quand le serveur reçoit une requête avec `Authorization: Basic ...`, il décode user:password, cherche l'utilisateur dans le fichier et compare le hash du mot de passe à celui stocké. Un standard depuis les années 1990 : simple, mais limité (pas de sessions, pas de logout, mot de passe envoyé en base64 à chaque requête).

Comment protéger par mot de passe une page Apache ou Nginx (basic auth) ?

Supporte : bcrypt (recommandé pour 2024+, le plus robuste), MD5 APR1 (`$apr1$`, classique Apache), SHA-1 (`{SHA}`, compatible Nginx).

Tout est calculé dans ton navigateur, le mot de passe ne sort jamais.

Comment l'utiliser

Tape un nom d'utilisateur (par exemple « admin », « backup_user »).

Tape le mot de passe : le hash est calculé instantanément dans le navigateur.

Pour bcrypt, règle le coût (4 à 14). Défaut 10 équilibre sécurité et latence de login (environ 50 ms de vérification). 12 et plus pour les applis sensibles.

Copie la ligne ou télécharge en .htpasswd. Upload sur le serveur dans un endroit sûr hors document root et référence depuis Apache (`AuthUserFile`) ou Nginx (`auth_basic_user_file`).

Quand c'est utile

Cinq situations typiques où la basic auth avec .htpasswd suffit largement :

Verrouiller un site statique contre l'indexation. Basic auth sur un panneau de staging/test.
Protéger un répertoire `/admin/` dans Apache.
Miroir de packages privé (Composer, npm). Accès réservé à l'équipe.
Site de documentation interne. Accès aux docs internes.
Serveur d'artifacts CI/CD. Serveur d'artifacts de build privés.

Pour des setups plus gros (10+ utilisateurs), envisage un identity provider dédié : la basic auth scale mal. Un seul utilisateur ou petite équipe = le cas d'usage idéal.

Le générateur permet d'ajouter une entrée sans installer le CLI htpasswd ou les utils Apache.

Questions et réponses

Générateur .htpasswd

Comment protéger par mot de passe une page Apache ou Nginx (basic auth) ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Hash de mots de passe : MD5, SHA, bcrypt

Générateur de mots de passe

Vérification mot de passe compromis

Générateur .htpasswd

Comment protéger par mot de passe une page Apache ou Nginx (basic auth) ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Hash de mots de passe : MD5, SHA, bcrypt

Générateur de mots de passe

Vérification mot de passe compromis