volevo sapere se è praticamente impossibile accedere ad una directory protetta da .htaccess senza sapere user e password e senza un brute force

volevo anche chiedere se è più sicuro o indifferente chimare il file delle password con un nome convenzionale come .htpasswd piuttosto che .htmiepw (idem per il file gruppi)

ed in fine se è indifferente (sempre per la sicurezza) salvarle in una sottodirectory della directory protetta piuttosto che in un altra dir (nel caso non fosse possibile uscire dalla web root)