Htpasswd генератор с инструкцией по настройке веб-сервера
Утилита htpasswd веб-сервера Apache используется для создания файлов, используемых для хранения логинов и паролей пользователей при настройке базовой HTTP-аутентификации для контроля доступа к ресурсам сайта.
Если htpasswd не удалось авторизовать пользователя, то возвращается ошибка, доступ к файлу или каталог будет заблокирован. Рекомендую ознакомиться с инструкцией по защите консоли администратора WordPress с помощью базовой HTTP-аутентификации.
1. Логин и пароль
Введите по одному логину в строке, с паролем или без:
2. Генерация содержимого файла .htpasswd
Алгоритм хеширования: |
Хеш-функция — это криптографическая функция, преобразующая массив входных данных произвольного размера в выходную битовую строку определённого (установленного) размера в соответствии с определённым алгоритмом.
Для каждого пароля алгоритм создаёт свой уникальный хеш. Если пропустить один и тот же пароль через алгоритм, хеш на выходе будет неизменным. Но если заменить в исходных данных хотя бы один символ, то хеш изменится кардинально.
Описание алгоритмов хеширования
- bcrypt — хэши этого алгоритма вычисляются очень медленно, что является одной из причин, по которой они безопасны. Параметр
cost
устанавливает время вычисления (чем больше, тем безопаснее, но медленнее).
• Совместимость: Apache начиная с версии 2.4
• Префикс:$2y$
или$2a$
- MD5 (APR) — это 128-битный алгоритм хеширования, предназначен для создания «отпечатков» или дайджестов сообщения произвольной длины и последующей проверки их подлинности. Используется по умолчанию.
• Совместимость: Apache все версии, Nginx 1.0.3+
• Префикс:$apr1$
- crypt(), также известный как crypt(3) — это устаревший алгоритм хеширования, он ограничивает длину пароля 8 символами и считается небезопасным. Разрешены только простые символы ASCII.
• Совместимость: все версии Apache и Nginx, только Unix
• Префикс: не используется - salted SHA-1 — считается небезопасным алгоритмом. Использование соли делает взлом списка паролей более трудоемким, однако это не затрудняет атаку по словарю при взломе одного пароля.
• Совместимость: Nginx 1.0.3+
• Префикс:{SSHA}
- SHA-1 — односторонняя криптографическая хеш-функция, которая используется для преобразования произвольного входного сообщения в фиксированный выходной хеш-код. Этот алгоритм небезопасен.
• Совместимость: Apache все версии, Nginx 1.3.13+
• Префикс:{SHA}
- Plain Text — пароль хранится в виде обычного текста без хеширования. Это опасно!
• Совместимость: все версии Apache, Nginx 1.0.3+
• Префикс для Apache: не используется
• Префикс для Nginx:{PLAIN}
Инструкция по настройке веб-сервера
Каталог, в котором вы размещаете файл паролей .htpasswd
, не должен быть доступен по ссылке из интернета, иначе посторонние пользователи или роботы смогут открыть и сохранить данные.
Файл .htaccess сервера Apache
AuthUserFile /path/to/htpasswd
AuthName "Please use your login and password"
AuthType Basic
Require valid-user
Конфигурация Nginx
location / {
auth_basic "Please use your login and password";
auth_basic_user_file /path/to/htpasswd;
}