Boîte à outils

Générateur .htpasswd / .htaccess (bcrypt)

Génère les fichiers .htpasswd et .htaccess pour protéger un répertoire web avec une authentification HTTP Basic. Mot de passe haché en bcrypt côté serveur, jamais stocké.

IP publique .htpasswd QR Code Couleurs

Générateur .htpasswd / .htaccess (bcrypt)

Génère les fichiers .htpasswd et .htaccess pour protéger un répertoire web avec une authentification HTTP Basic. Mot de passe haché en bcrypt côté serveur, jamais stocké.

Chemin complet sur le serveur, ex. /var/www/monsite.com/admin/ — si renseigné, génère aussi le fichier .htaccess correspondant.
Le hachage bcrypt est effectué 100 % localement dans votre navigateur (lib bcrypt.js, dcodeIO). Votre mot de passe ne quitte jamais votre appareil — aucun appel réseau, aucun stockage, aucune journalisation.

À quoi servent .htpasswd et .htaccess ?

Le couple .htpasswd + .htaccess est la méthode historique pour protéger un répertoire d'un serveur Apache (ou compatible) par une authentification HTTP Basic. Le fichier .htpasswd contient les couples utilisateur:hash. Le fichier .htaccess, placé dans le dossier à protéger, indique à Apache où trouver le .htpasswd et déclenche la demande d'identifiants dans le navigateur.

Mise en place pas à pas

  1. 1Renseignez un nom d'utilisateur et un mot de passe (utilisez le bouton Générer pour un mot de passe fort).
  2. 2Optionnel : indiquez le chemin absolu du répertoire à protéger pour obtenir aussi le .htaccess.
  3. 3Cliquez sur Générer, puis copiez le contenu du .htpasswd dans un fichier nommé .htpasswd à l'emplacement choisi.
  4. 4Copiez le contenu du .htaccess dans un fichier nommé .htaccess à la racine du répertoire à protéger.
  5. 5Téléversez les deux fichiers sur votre serveur (FTP, SFTP, panneau d'hébergement…) et testez l'accès dans un navigateur.

Quel algorithme de hachage choisir ?

Cet outil utilise exclusivement bcrypt, le standard recommandé par OWASP pour le stockage de mots de passe. Les anciens algorithmes (crypt, MD5, SHA-1, plaintext) sont volontairement écartés pour des raisons de sécurité.

bcrypt

Algorithme moderne, lent et salé (Blowfish). Résistant aux attaques par force brute et aux rainbow tables. Supporté nativement par Apache 2.4+ et tous les serveurs Unix modernes.

MD5 / SHA-1 / crypt / plaintext

Rapides à calculer et vulnérables aux rainbow tables / GPU. Le mode plaintext est trivialement lisible. À éviter — n'utilisez ces algos que pour migrer un ancien système, jamais pour une nouvelle installation.

À utiliser en connaissance de cause

L'authentification HTTP Basic transmet les identifiants à chaque requête — utilisez-la impérativement avec HTTPS. Elle ne remplace pas un système de session complet (rotation, expiration, MFA). Pour des données sensibles, préférez une authentification applicative (OAuth2, sessions, etc.). En utilisant cet outil, vous reconnaissez être responsable de la sécurité de votre infrastructure.

Support