Generator htpasswd

Utwórz linię do Apache .htpasswd dla HTTP Basic auth. Obsługiwane formaty: SHA‑1 ({SHA}...), APR1‑MD5 ($apr1$...), bcrypt ($2y$...) oraz Argon2i ($argon2i$...).

Wpisz użytkownika, wybierz algorytm i dwukrotnie podaj hasło. Kliknij Generuj i skopiuj wynik do pliku .htpasswd.

• bcrypt: wybierz koszt (rundy). Domyślnie 10.
• SHA‑1: daje {SHA} w base64 (dziedzictwo).
• APR1‑MD5: używa losowej 8‑znakowej soli i zwraca hashe $apr1$ (dziedzictwo).
• Argon2i: bezpieczne domyślne ustawienia (t=3, m=64 MiB, p=1) i działanie w przeglądarce przez WebAssembly.

• Bezpieczeństwo: SHA‑1 i APR1‑MD5 są uważane za słabe; do nowych wdrożeń preferuj bcrypt lub Argon2i.
• Wszystko działa lokalnie w przeglądarce — nic nie wysyłamy.
• Uważaj na historię schowka i współdzielone urządzenia.

• SHA‑1: admin:password → admin:{SHA}qUqP5cyxm6YcTAhz05Hph5gvu9M=
• bcrypt (10 rund): user:secret → user:$2y$10$<22‑zn soli><31‑zn hash> (za każdym razem inne przez losową sól)
• APR1‑MD5: jane:secret → jane:$apr1$<sól>$<hash>
• Argon2i: dev:secret → dev:$argon2i$<parametry>$<sól>$<hash> (format PHC)

Wszystkie algorytmy z solą (APR1‑MD5, bcrypt, Argon2i) dają różne wyniki dla tego samego hasła — to oczekiwane i poprawia bezpieczeństwo.

• Co wybrać? Do nowych wdrożeń preferuj bcrypt lub Argon2i. SHA‑1/APR1 używaj tylko ze względu na kompatybilność.
• Czy Apache to obsługuje? $2y$ (bcrypt) i $argon2i$ są wspierane w Apache 2.4+; APR1‑MD5 historycznie prawie wszędzie.
• Dlaczego hash za każdym razem jest inny? Przez losową sól. Utrudnia to ataki brute‑force i tablice tęczowe.
• Jak zweryfikować hash? Na serwerze: htpasswd -vb .htpasswd username password (zwraca sukces/błąd bez modyfikacji pliku).
• Czy dane są wysyłane? Nie. Generowanie odbywa się w Twojej przeglądarce; nic nie jest wysyłane.