.htaccess может и не обрабатывается
но мало кто будет настраивать сервер таким образом чтобы такой файл было видно по http как и любой другой файл.
так что попробуй хранить в таком файле.
второй вариант как и было предложенно в рнр файле толко в массиве - так и обрабатывать легче да и добавить новый пароль можно (добавил в массив, массив сбросил в php код).
Пока это писал придумал еще пару вариантов, включи воображение посмотри какие средства есть в распоряжении, это совсем не сложно.
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады