Sinon utilise bcrypt, il est réputé être beaucoup plus solide que les algorithmes de hash standards (md5, sha) qui n'ont pas été prévu à la base pour chiffrer des mots de passe mais pour la vérification de checksum. Bcrypt utilise un salt pour se protéger contre les attaques par rainbow table et utilise une fonction permettant d'augmenter significativement le nombre d'itérations pour rendre le déchiffrement beaucoup plus long.
Selon la doc d'apache :
htpasswd -nbB user password
user:$2y$......