htpasswd - génération de fichiers .htpasswd pour serveurs web Apache

Codage de mots de passe pour les fichiers .htpasswd

(pour une authentification de type Basic ou Digest par .htaccess)

5 mai 2003

Encore une page pour générer des mots de passe cryptés ? Oui mais celle-ci a sa petite originalité qui la rend unique : pour assurer une confidentialité totale, le mot de passe choisi n'est pas communiqué à un serveur pour être crypté, tout reste à l'intérieur de votre navigateur, et nous vous conseillons même de l'utiliser hors-ligne.
Cette page est en fait une adaptation en JavaScript du programme htpasswd fourni avec le serveur Apache.

Sur l'authentification par .htaccess et les considérations de sécurité, il y a une très bonne page ici en français.

Note sur les algorithmes de codage :
Le fonctionnement de l'authentification sur un serveur dépend de son système d'exploitation (essentiellement Windows et UNIX) et du logiciel serveur web utilisé (Apache fonctionne sur toutes les plate-formes, et Microsoft IIS sous Windows uniquement).

en clair : stocker les mots de passe tels quels, sans codage. Les serveurs Apache ne les acceptent que sous Windows et sous TPF.
Crypt : algorithme le plus utilisé, basé sur le DES. Passe partout sous UNIX, mais Apache pour Windows ou TPF ne l'acceptera pas. Pour les mots de passe ainsi codés, seuls les 8 premiers caractères comptent. Par exemple si vous codez le mot de passe ConfiotDePom et que l'utilisateur entre ConfiotDAbrico ou même seulement ConfiotD, il sera validé. Ce codage de mots de passe doit donc être considéré comme faible.
MD5 : algorithme à base de MD5 reconnu uniquement par les serveurs Apache, quelle que soit la plate-forme utilisée.
SHA : Utilisé pour faciliter la migration de ou vers les serveurs Netscape utilisant LDIF (LDAP Directory Interchange Format).

L'algorithme MD5 est très puissant, mais la création d'un mot de passe en MD5 est très lente (jusqu'à 40 secondes selon le navigateur et le processeur utilisé) : la fonction MD5 en soi se calcule en quelques fractions de secondes, mais le codage utilisé par les serveurs Apache nécessite le calcul de plus de 1000 fonctions MD5 par mot de passe. Pour un programme normal ça ne gêne pas, mais en JavaScript forcément ça rame dur...

Note sur la compatibilité :
Le chiffrement des mots de passe est basé sur les adaptations en JavaScript des algorithmes MD5 et SHA-1 par Paul Johnston.
Le calcul fonctionne avec la plupart des navigateurs ; toutefois d'éventuels problèmes de compatibilité peuvent générer de mauvais mots de passe rejetés par les serveurs web.
Andrew Kepert a écrit un test de compatibilité en ligne des navigateurs pour les fonctions cryptographiques utilisées.

Remerciements :
à Paul Johnston pour l'adaptation en JavaScript des algorithmes MD5 et SHA-1.
à pour son adaptation en JavaScript de l'algorithme crypt(3) d'UNIX.