Müssen die Passwörter in .htpasswd verschlüsselt sein?

Das kommt drauf an... Eigentlich ja, aber unter Windows wurde bereits berichtet, dass das dort nur unverschlüsselt funktioniere (kann ich jedoch mit der Original-Distribution von httpd.apache.org nicht bestätigen).

Allerdings wird beim Nichtübereinstimmen von Benutzername und Passwort oder Nichtvorhandensein eines bestimmten Benutzers der Statuscode 401 zurückgegeben:

ap_log_rerror(APLOG_MARK, APLOG_ERR, 0, r,
                      "user %s not found: %s", r->user, r->uri);
        ap_note_basic_auth_failure(r);
        return HTTP_UNAUTHORIZED;

invalid_pw = apr_password_validate(sent_pw, real_pw);
    if (invalid_pw != APR_SUCCESS) {
        ap_log_rerror(APLOG_MARK, APLOG_ERR, 0, r,
                      "user %s: authentication failure for "%s": "
                      "Password Mismatch",
                      r->user, r->uri);
        ap_note_basic_auth_failure(r);
        return HTTP_UNAUTHORIZED;

Insofern wäre es schon hilfreich, den Inhalt der error.log, die auch error_log heißen kann, zu kennen. Den Speicherort findest du, indem du in der httpd.conf (die wiederum auch anders heißen kann...) nach der Direktive ErrorLog suchst.