Webサーバを立ててる時に，Basic認証を使ってみたところ「…あ，あれ！？違うパスワード入れてるのに，認証を通ってる！！！」という自体が発生したので調べてみた．
ApacheのBasic認証はデフォルトで先頭8文字目までしか有効ではない(9文字以降は切り捨て)そうです．
ついでに，Basic認証するときにセキュリティ上の観点からSSLは必須みたいです(パスワードが平文で送られてしまうため)．

BASIC認証のパスワードは8文字か - KamoLand
http://kamoland.com/wiki/wiki.cgi?BASIC%C7%A7%BE%DA%A4%CE%A5%D1%A5%B9%A5%EF%A1%BC%A5%C9%A4%CF8%CA%B8%BB%FA%A4%AB