lighttpdでBASIC認証を掛けるには、まずユーザ名とパスワードを書いたテキストファイルを用意する。

username:password

コレをlighttpd.userとして保存して、次の記述をlighttpd.confに加える。

auth.backend = "plain"
auth.backend.plain.userfile = "/path/to/lighttpd.user"
auth.require = (
  "/" => (
    "method" => "basic",
    "realm" => "Enter your account",
    "require" => "valid-user"
   )
)

認証を掛けるフォルダはauth.requireの"/"のところで指定する。Apacheのhtpasswdが入っていれば、それも使える。使うときはauth.backendを"htpasswd"。
サブドメインを一個振って、それ全体に掛けたいときはこんな感じ。

$HTTP["host"] =~ "^subdomain" {
  server.document-root = "/path/to/document-root"
  server.errorlog = "/path/to/error.log"
  accesslog.filename = "/path/to/access.log"
  
  url.rewrite = ( "^/$" => "index.html", "^([^.]+)$" => "$1.html" )
  
  auth.backend = "plain"
  auth.backend.plain.userfile = "/path/to/lighttpd.user"
  auth.require = (
    "/" => (
      "method" => "basic",
      "realm" => "Enter your account",
      "require" => "valid-user"
     )
  )
}

あくまでもBASIC認証なので、鍵がかかってると言うより伏せてある、という認識を持っておいた方が無難。大事なモノをコレで守ろうとしないこと。