Können die Passwörter abgefangen werden ?
Eigentlich soll htaccess doch sehr sicher sein.

Hm, das klingt so, als würdest Du eine Versicherung abschließen, ohne zu fragen, in welchem Falle diese überhaupt etwas bewirkt.

"Sicherheit" ist ein sehr vielschichtiger Begriff.

a) Knackbarkeit des Passworts durch Probieren:
Ist abhängig von der Länge des Passworts und von der Möglichkeit, hemmlungslos automatisiert probieren zu können. Ersteres sind 8 Byte, letzteres geht (über die Angabe von user und passwort direkt in der URL).
Also: Geht so, es gibt Besseres.

b) Knackbarkeit der Passworte durch Lesen der Passwortdatei:
Wenn jemand auf dem Server die Passwortdatei in die Finger kriegt, ist er m. E. kaum einen Schritt weiter als bei a).
Passworte werden (normalerweise) verschlüsselt abgelegt (auf UNIX mit crypt() immer, auf Windows mit MD5 etc. ebenfalls, seitdem der Bug von Apache 1.3.6 in 1.3.9 behoben wurde).

c) Belauschbarkeit bei der Übertragung:
Da hängt es streng genommen nicht von .htaccess ab, sondern von der Übertragungsmethode (in .htaccess als "AuthType" anzugeben).
Leider ist da aber bisher nicht viel mehr möglich als "Basic", d. h. Übertragung im Klartext - wenn jemand Deine TCP/IP-Daten mithört und versteht, dann hat er Dein Passwort. (Der Aufwand ist sicher nicht gering, aber es wäre denkbar.)
Apache 1.3.x kann auch "AuthType=Digest" (1.2.0 konnte das noch nicht). Mit dieser Methode verschlüsselt schon der Browser das eingegebene Passwort und sendet es also nicht mehr im Klartext zum Webserver. Der kann es nicht entschlüsseln, muß es also bereits verschlüsselt gespeichert haben (vergleichen reicht ja) - und das wiederum bedeutet, daß beide Seiten dieselbe Verschlüsselungsmethode verwenden müssen.
Die Methode, die Apache für "Digest" verwendet, ist MD5 - aber finde mal einen Browser, der da mitmacht ... näheres zu diesem (traurigen) Thema unter <../../sfarchiv/1999_4/t06953.htm>.