htpasswd জেনারেটর

htpasswd জেনারেটর কী?

htpasswd জেনারেটর হলো HTTP বেসিক প্রমাণীকরণে ব্যবহৃত শংসাপত্র তৈরির একটি বিনামূল্যের ইন-ব্রাউজার টুল। সিস্টেম প্রশাসক ও ওয়েব ডেভেলপাররা Apache-র htpasswd কমান্ড-লাইন ইউটিলিটি ইনস্টল না করেই একটি ডিরেক্টরি বা অ্যাডমিন প্যানেলকে ব্যবহারকারীর নাম ও পাসওয়ার্ড দিয়ে সুরক্ষিত রাখতে এটি ব্যবহার করেন। এটি একটিমাত্র user:hash লাইন তৈরি করে যা আপনি একটি .htpasswd ফাইলে যোগ করেন, bcrypt (সবচেয়ে শক্তিশালী, $2y$ ফরম্যাট), APR1 (Apache-র পোর্টেবল MD5, $apr1$ ফরম্যাট) বা SHA-1 (SHA ফরম্যাট) বেছে নিয়ে। এটি সংশ্লিষ্ট Authorization: Basic হেডারও তৈরি করে যাতে আপনি একই শংসাপত্র curl বা কোনো REST ক্লায়েন্ট দিয়ে পরীক্ষা করতে পারেন। bcrypt-এর কস্ট ফ্যাক্টর শক্তিশালী বা দ্রুত হ্যাশিংয়ের জন্য সেটিংসে কনফিগার করা যায়।

htpasswd জেনারেটর কীভাবে ব্যবহার করবেন

1. যে ব্যবহারকারীর নাম দিয়ে লগ ইন করা হবে তা লিখুন।
2. অ্যাকাউন্ট সুরক্ষিত রাখতে পাসওয়ার্ড টাইপ করুন; এটি এই ফিল্ডেই থাকে এবং কোথাও পাঠানো হয় না।
3. যদি আপনার কেবল একটি API অনুরোধ বা curl পরীক্ষার জন্যই প্রয়োজন হয়, তবে Basic অনুমোদন হেডারটি সঙ্গে সঙ্গে কপি করুন।
4. হ্যাশ অ্যালগরিদম (bcrypt, APR1 বা SHA-1) এবং bcrypt-এর জন্য কস্ট ফ্যাক্টর বেছে নিতে সেটিংস খুলুন।
5. হ্যাশ করা .htpasswd লাইন গণনা করতে জেনারেট চাপুন, তারপর এটি আপনার সার্ভারের .htpasswd ফাইলে কপি করুন।

উদাহরণ

ব্যবহারকারী: admin, পাসওয়ার্ড: s3cret, অ্যালগরিদম: bcrypt (কস্ট 10)

admin:$2y$10$... (60-অক্ষরের bcrypt হ্যাশ, প্রতিবার এলোমেলো সল্ট)

ব্যবহারকারী: admin, পাসওয়ার্ড: s3cret

Basic YWRtaW46czNjcmV0

ব্যবহারকারী: web, পাসওয়ার্ড: pass123, অ্যালগরিদম: APR1

web:$apr1$<সল্ট>$<22-অক্ষরের হ্যাশ>

সচরাচর জিজ্ঞাসিত প্রশ্ন

আমার পাসওয়ার্ড কি কোনো সার্ভারে পাঠানো হয়?

না। Basic হেডার এবং .htpasswd হ্যাশ উভয়ই সম্পূর্ণরূপে আপনার ব্রাউজারে Web Crypto API এবং ব্রাউজারের ভেতরের একটি WebAssembly হ্যাশার দিয়ে গণনা করা হয়। কিছুই কোনো সার্ভারে আপলোড বা সংরক্ষণ করা হয় না, তাই টুলটি অফলাইনে কাজ করে এবং আপনার পাসওয়ার্ড কখনও পেজ ছাড়ে না।

আমার কোন হ্যাশ বেছে নেওয়া উচিত?

নতুন সেটআপের জন্য bcrypt ব্যবহার করুন; এটি ক্র্যাকিংয়ের বিরুদ্ধে সবচেয়ে প্রতিরোধী এবং আধুনিক Apache ও nginx-এ সমর্থিত। APR1 ($apr1$) হলো Apache-র পোর্টেবল MD5, পুরোনো কনফিগের জন্য উপযোগী। SHA-1 ({SHA}) সবচেয়ে দুর্বল এবং কোনো সিস্টেম সুনির্দিষ্টভাবে এটি না চাইলে এড়িয়ে যাওয়াই ভালো।

জেনারেট বোতামে একটু সময় লাগে কেন?

ব্রুট-ফোর্স আক্রমণ প্রতিরোধ করতে bcrypt ও APR1 ইচ্ছাকৃতভাবে ধীর, এবং bcrypt প্রথমবার ব্যবহারে একটি ছোট WebAssembly মডিউলও লোড করে। উচ্চতর কস্ট ফ্যাক্টর bcrypt-কে ধীর কিন্তু শক্তিশালী করে। SHA-1 এবং Basic হেডার তাৎক্ষণিক।

এটি কি আসল htpasswd কমান্ডের সঙ্গে মেলে?

হ্যাঁ। bcrypt লাইনগুলো Apache যে $2y$ উপসর্গ প্রত্যাশা করে তা ব্যবহার করে, APR1 এলোমেলো সল্ট সহ স্ট্যান্ডার্ড $apr1$ ফরম্যাট ব্যবহার করে, এবং SHA-1 {SHA} স্কিম ব্যবহার করে, এগুলো সবই htpasswd-উৎপন্ন ফাইলের সঙ্গে সামঞ্জস্যপূর্ণ।

আমি কি এটি nginx-এর জন্য ব্যবহার করতে পারি?

হ্যাঁ। nginx-এর auth_basic_user_file একই .htpasswd ফরম্যাট পড়ে, তাই একটি bcrypt বা APR1 লাইন সরাসরি কাজ করে। nginx {SHA} সমর্থন করে না, তাই এর জন্য bcrypt বা APR1 বেছে নিন।