[lang_en]For month I’ve been using the wrong password to access my email administration. Strange thing is, I have not discovered this until just now because the web server granted me access all the time. A quick Google search confirmed my suspicion when I found Franz Seidl describing the same behaviour: By default an access control using .htpasswd files is taking only the first eight characters into consideration when checking passwords! So keep this in mind if you are protecting folders of your web server by setting up .htaccess files.

Addendum: adminblogger just pointed out to me, that you can tell htpasswd which algorithm to use when creating a password hash. See a short example by him at pastebin.[/lang_en]

[lang_de]Mir fiel soeben auf, dass ich beim Zugriff auf meine E-Mail-Verwaltung monatelang das falsche Passwort verwendet habe. Dennoch gestattete mir der Webserver den Zugang. Nach kurzer Google-Suche wurde ich bei Franz Seidl fündig und fand meinen Verdacht bestätigt: Die Zugriffsbeschränkung über .htpasswd-Dateien berücksichtigt standardmäßig lediglich die ersten acht Zeichen eines Passworts! Das sollte man also genau bedenken, wenn man .htaccess nutzt, um einen Zugriffsschutz für Verzeichnisse auf einem Webserver umzusetzen.

Addendum: adminblogger wies mich soeben darauf hin, dass htpasswd per Parameter beim Erstellen eines Passwort-Hash der zu verwendende Algorithmus mitgegeben werden kann. Ein kurzes Beispiel hat er bei pastebin hinterlegt.[/lang_de]