Hi Sven,

Besorg' dir am besten das Programm "htpasswd" (ist bei jeder Installation des Apachen, egal ob Linux oder Windows, dabei). Damit kannst du auf der Kommandozeile .htusers-Dateien mit den Passwörtern erstellen, und zwar in allen denkbaren Hash-Varianten. MD5-Passworte beginnen, wenn ich mich recht erinnere, irgendwie mit {1}$blablba..., und am Ende hängt dann das MD5 aus Salt und Passwort.

Genau, die Hashs auf MD5-Basis für den Apachen sind etwas anderes als eine einfache MD5-Prüfsumme. Der Eintrag in einer .htpasswd Datei für einen User „user” mit dem Passwort „test” könnte zum Beispiel so aussehen:

user:$apr1$xYWcW/..$QKkGfMB/2Wgu/K5xIp946/

Der Hash des Passworts fängt (speziell für den Apache) immer mit einem apr1 an, genannt Magic String. Danach folgt der Salt, welcher bis zu acht Buchstaben lang sein kann und letztendlich kommt das gehashte Passwort. Diese drei Einzelteile werden dann durch $ getrennt und mit einem $ vorangestellt zusammengefügt.

Die Erstellung eines solchen Hashs ist nicht ganz so trivial. In Perl gibt es dazu Crypt::PasswdMD5, für PHP haben wir das vor einiger Zeit mal als md5crypt übersetzt. Für das „htpasswd”-Programm kannst du mit dem Flag „-m” die sogenannte „MD5 encryption” erzwingen.

Viele Grüße,
  ~ Dennis.