Bcrypt vs MD5 APR1 vs SHA-1?

**Wybór algorytmu** zależy od wieku serwera i wymagań: - **Bcrypt**: nowoczesny standard, powolny (50-200ms na hash) z konfigurowalnym costem, **odporny na brute force i GPU** - **MD5 APR1** (`$apr1$`): Apache-classic z 1995, 1000 iteracji MD5 + salt; **znacznie szybszy** niż bcrypt (1ms), więc **słabszy** przeciw brute force - **SHA-1** (`{SHA}`): jeden round bez salt, **łamany w godziny** **Używaj bcrypt** dla nowych setupów; MD5 APR1 jeśli serwer jest stary; SHA-1 tylko gdy Nginx i potrzebujesz minimalnego CPU.

Czemu bcrypt jest "lepszy", skoro wolniejszy?

**Wolny hash = trudniejszy brute force**. SHA-1 liczy się w **0.0001ms**, atakujący próbuje **10 mld haseł/s**. **Bcrypt cost=10** to **50ms**, atakujący **200/s**, czyli **50 mld razy wolniej**. Dla normalnego użytkownika 50ms przy logowaniu **niezauważalne**; dla atakującego z bilionami haseł = **różnica "minuty" vs "lata"**.

Jaki cost bcrypt wybrać?

**Standard 2024-2026**: **cost=10** (~50-100ms). Dla bankowości / secrets management: **cost=12** (~400ms) lub **14** (~1.5s). **Cost=4-8 jest niebezpiecznie szybki, NIE używaj**. Powyżej 14 tylko jeśli akceptujesz wielo-sekundowy czas logowania. **Pamiętaj**: bcrypt cost jest zapisany w hashu (`$2y$10$...`), zmiana costu wymaga **rehashowania wszystkich haseł**.

**Tak**. Nginx **natywnie czyta** format Apache htpasswd przez `auth_basic_user_file /path/to/.htpasswd`. Akceptuje wszystkie 3 algorytmy z naszego generatora. **Jeśli konfigurujesz Nginx od zera, bcrypt jest najlepszy**.

Czy hasło wychodzi na serwer?

**Nie**. Cała logika (**bcrypt, MD5 APR1, SHA-1**) liczy się w Twojej przeglądarce. **bcrypt** przez **bcryptjs** (czysty JS), **MD5 APR1** przez **hash-wasm**, **SHA-1** przez **Web Crypto API**. **DevTools → Network** = brak requestów z hasłem.

Gdzie umieścić plik .htpasswd na serwerze?

**POZA document root** (np. `/etc/apache2/passwords/.htpasswd` na Debian/Ubuntu, **NIE** w `/var/www/html/.htpasswd` gdzie ktoś mógłby pobrać przez HTTP). **Uprawnienia**: `chmod 640`, **owner=root, group=www-data** (lub nginx). Apache odczyta przez ścieżkę w `AuthUserFile`, Nginx tak samo przez `auth_basic_user_file`.

Jak dodać wielu użytkowników?

**Każdy użytkownik = JEDNA linia** w pliku. Wygeneruj wpis dla każdego osobno (zmień username + password, skopiuj nową linię), wszystkie wklej **do tego samego pliku**. Apache/Nginx czyta wszystkie linie i sprawdza pasujący username. **Ręczna alternatywa**: skrypt bash w pętli po liście user/password przez wywołanie `htpasswd -B file user pass`.

Generator pliku .htpasswd - darmowy

Wygenerowany wpis

Wpisz login i hasło, aby wygenerować wpis.

Hasło

Algorytm

tools.htpasswd.algoHint_bcrypt

Koszt bcrypt (2^10)

Hashowanie odbywa się lokalnie. Hasło nigdy nie opuszcza Twojej przeglądarki.

Jak zabezpieczyć stronę Apache lub Nginx hasłem (basic auth)?

Generator wpisu do pliku .htpasswd: tworzy linię w formacie `user:hash` gotową do wklejenia w plik .htpasswd Apache lub do dyrektywy `auth_basic_user_file` w Nginx.

Obsługuje algorytmy: bcrypt (rekomendowane 2024+, najmocniejsze), MD5 APR1 (`$apr1$`, klasyczne Apache), SHA-1 (`{SHA}`, kompatybilność z Nginx-em).

Wszystko liczone w Twojej przeglądarce, hasło nigdy nie wychodzi.

Jak korzystać

Wpisz nazwę użytkownika (np. "admin", "backup_user").

Wpisz hasło, hash przeliczany jest natychmiast w przeglądarce.

Wybierz algorytm: bcrypt (najmocniejszy, ~50ms na hash, Apache 2.4+ i Nginx 1.10+), MD5 APR1 (klasyczny Apache, działa wszędzie), SHA-1 (Nginx-only, najsłabszy ale szybki).

Dla bcrypt ustaw cost (4-14). Default 10 to balans bezpieczeństwa i czasu logowania (~50ms na sprawdzenie). 12+ dla wysokich wymagań.

Skopiuj wygenerowaną linię lub pobierz plik .htpasswd. Wgraj na serwer w bezpieczne miejsce poza document root i wskaż w konfiguracji Apache (`AuthUserFile`) lub Nginx (`auth_basic_user_file`).

Do czego się przydaje

Pięć typowych sytuacji, w których basic auth z .htpasswd wystarcza w 100%:

Zabezpieczenie statycznej strony przed indeksowaniem. Basic auth na panel staging/test.
Ochrona katalogu `/admin/` w Apache.
Prywatny mirror paczek (Composer, npm). Dostęp tylko dla zespołu.
Internal documentation site. Dostęp do wewnętrznej dokumentacji.
CI/CD artifact server. Prywatny serwer artefaktów buildów.

Dla większych setupów (10+ użytkowników) rozważ dedykowany identity provider, basic auth scaling jest ograniczony. Pojedynczy użytkownik lub mały zespół = idealny use case.

Generator pozwala dodać wpis bez instalowania htpasswd CLI ani Apache utils.

Pytania i odpowiedzi

Plik tekstowy w formacie `user:hash` w każdej linii, używany przez Apache i Nginx do basic HTTP authentication. Gdy serwer dostaje request z nagłówkiem `Authorization: Basic ...`, dekoduje user:password, sprawdza czy user istnieje w pliku, i porównuje hash dostarczonego hasła z tym w pliku. Standard od lat 90.: prosty, ale ograniczony (brak sesji, brak logout, hasło wysyłane base64 przy każdym requeście).

Jak zabezpieczyć stronę Apache lub Nginx hasłem (basic auth)?

Generator wpisu do pliku .htpasswd: tworzy linię w formacie `user:hash` gotową do wklejenia w plik .htpasswd Apache lub do dyrektywy `auth_basic_user_file` w Nginx.

Obsługuje algorytmy: bcrypt (rekomendowane 2024+, najmocniejsze), MD5 APR1 (`$apr1$`, klasyczne Apache), SHA-1 (`{SHA}`, kompatybilność z Nginx-em).

Wszystko liczone w Twojej przeglądarce, hasło nigdy nie wychodzi.

Jak korzystać

Wpisz nazwę użytkownika (np. "admin", "backup_user").

Wpisz hasło, hash przeliczany jest natychmiast w przeglądarce.

Wybierz algorytm: bcrypt (najmocniejszy, ~50ms na hash, Apache 2.4+ i Nginx 1.10+), MD5 APR1 (klasyczny Apache, działa wszędzie), SHA-1 (Nginx-only, najsłabszy ale szybki).

Dla bcrypt ustaw cost (4-14). Default 10 to balans bezpieczeństwa i czasu logowania (~50ms na sprawdzenie). 12+ dla wysokich wymagań.

Do czego się przydaje

Pięć typowych sytuacji, w których basic auth z .htpasswd wystarcza w 100%:

Zabezpieczenie statycznej strony przed indeksowaniem. Basic auth na panel staging/test.
Ochrona katalogu `/admin/` w Apache.
Prywatny mirror paczek (Composer, npm). Dostęp tylko dla zespołu.
Internal documentation site. Dostęp do wewnętrznej dokumentacji.
CI/CD artifact server. Prywatny serwer artefaktów buildów.

Dla większych setupów (10+ użytkowników) rozważ dedykowany identity provider, basic auth scaling jest ograniczony. Pojedynczy użytkownik lub mały zespół = idealny use case.

Generator pozwala dodać wpis bez instalowania htpasswd CLI ani Apache utils.

Pytania i odpowiedzi

Generator pliku .htpasswd

Jak zabezpieczyć stronę Apache lub Nginx hasłem (basic auth)?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Hashe hasła: MD5, SHA, bcrypt

Generator haseł

Sprawdzanie wycieków hasła

Generator pliku .htpasswd

Jak zabezpieczyć stronę Apache lub Nginx hasłem (basic auth)?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Hashe hasła: MD5, SHA, bcrypt

Generator haseł

Sprawdzanie wycieków hasła