Naja, das kommt darauf an, was für ein Zugangskontrollsystem man konfiguriert. ".htaccess" bezeichnet ja eigentlich lediglich eine Webserverkonfigurationsdatei und kein spezifisches Zugriffskontrollschema.

Wenn man ".htaccess" als Synonym zu "mit .htacess konfigurierte HTTP Basic Authentication oder HTTP Digest Authentication" liest, dann stimmt die Aussage. Aber es hindert einen ja niemand daran, zum Beispiel einen Apache per ".htaccess" mit Authentifizierung auf Basis von SSL-Zertifikaten oder mit Hilfe von FastCGI-Authorizers zu konfigurieren. Mit letzterer Technik kann man dann so ziemlich jede verrückte Zugriffskontrolle implementieren, die man irgendwie in Maschinensprache fassen kann ;-)