Hi,

nun...zum, einen will ich das hässliche popup loswerden,

dieses 'häßliche' PopUp hat aber immerhin den Vorteil, daß der Besucher Deiner Seiter erkennen kann, daß es wirklich Server Authentication ist und nicht irgend ein nicht funktionierender JavaScript-Schnickschnack, den Du irgendwo im Web, äh - gefunden hast.
Das ist für eine Authentifizierung eine durchaus vertrauenbildende Maßnahme - ähnlich, wenn auch nicht im vollen Umfang vergleichbar mit dem "unzerbrochenen Schlüssel" einer HTTPS-Verbindung.

zudem soll die Passwort-geschichte leicht zu Pflegen sein
(Benutzer anlegen, Passwort ändern).

Das Dateiformat der Benutzer-Datei ist so was von primitiv (Benutzername, Doppelpunkt, verschlüsseltes Passwort), daß Du Dir ein einfaches Skript zur Pflege einer solchen Datei mit überschaubarem Aufwand selbst schreiben kannst - falls nicht eines der wahrscheinlich unzähligen im WWW vorhandenen Skripte Deine Anforderungen bereits erfüllen sollte.

Der Anwender soll das selber machen können.

Die wesentlichen Klippen dabei sind:
a) Synchronisation quasiparalleler Zugriffe
b) Authentifizierung (jeder darf nur den Eintrag seiner
   eigenen Kennung ändern, muß also eingelogt sein - seinen
   Benutzernamen erfährst Du über das CGI-Environment)
c) auf die plattformspezifische Verschlüsselung achten

crypt() dürfte in allen gängigen CGI-Sprachen eine Standardfunktion sein.

Viel Spaß beim Programmieren
     Michael