aspirine.org
Utilitaires pour sites web


(Cette adresse est invisible pour
les robots des spammeurs)

Codage de mots de passe pour les fichiers .htpasswd

(pour une authentification de type Basic ou Digest par .htaccess)

5 mai 2003
English version

Encore une page pour générer des mots de passe cryptés ? Oui mais celle-ci a sa petite originalité qui la rend unique : pour assurer une confidentialité totale, le mot de passe choisi n'est pas communiqué à un serveur pour être crypté, tout reste à l'intérieur de votre navigateur, et nous vous conseillons même de l'utiliser hors-ligne.
Cette page est en fait une adaptation en JavaScript du programme htpasswd fourni avec le serveur Apache.

Sur l'authentification par .htaccess et les considérations de sécurité, il y a une très bonne page ici en français.

Plusieurs utilisateurs à générer ? Essayez le générateur de htpasswd par paquets !

identifiant :
mot de passe
algorithme
de caractères
ligne complète à insérer dans le fichier de mots de passe :

Note sur les algorithmes de codage :
Le fonctionnement de l'authentification sur un serveur dépend de son système d'exploitation (essentiellement Windows et UNIX) et du logiciel serveur web utilisé (Apache fonctionne sur toutes les plate-formes, et Microsoft IIS sous Windows uniquement).
  • en clair : stocker les mots de passe tels quels, sans codage. Les serveurs Apache ne les acceptent que sous Windows et sous TPF.
  • Crypt : algorithme le plus utilisé, basé sur le DES. Passe partout sous UNIX, mais Apache pour Windows ou TPF ne l'acceptera pas. Pour les mots de passe ainsi codés, seuls les 8 premiers caractères comptent. Par exemple si vous codez le mot de passe ConfiotDePom et que l'utilisateur entre ConfiotDAbrico ou même seulement ConfiotD, il sera validé. Ce codage de mots de passe doit donc être considéré comme faible.
  • MD5 : algorithme à base de MD5 reconnu uniquement par les serveurs Apache, quelle que soit la plate-forme utilisée.
  • SHA : Utilisé pour faciliter la migration de ou vers les serveurs Netscape utilisant LDIF (LDAP Directory Interchange Format).
Note sur la compatibilité :
Le chiffrement des mots de passe est basé sur les adaptations en JavaScript des algorithmes MD5 et SHA-1 par Paul Johnston.
Le calcul fonctionne avec la plupart des navigateurs ; toutefois d'éventuels problèmes de compatibilité peuvent générer de mauvais mots de passe rejetés par les serveurs web.
Andrew Kepert a écrit un test de compatibilité en ligne des navigateurs pour les fonctions cryptographiques utilisées.

Remerciements :
à Paul Johnston pour l'adaptation en JavaScript des algorithmes MD5 et SHA-1.
à pour son adaptation en JavaScript de l'algorithme crypt(3) d'UNIX. 		Valid HTML 4.0!