Vergleich von 10 Open-Source-MFA-Tools

Bei der Implementierung Ihrer kostenlosen Open-Source -Multi-Faktor-Authentifizierung (MFA) sollten Sie Folgendes beachten:

• MFA-Lösungen der Enterprise-Klasse : Keycloak, Authelia, Authentik, Zitadel und Kanidm bieten umfassendes Identitäts- und Zugriffsmanagement (IAM) mit Unterstützung für mehrere Authentifizierungsprotokolle.
• Leichtgewichtige MFA-Tools wie Hanko, LLDAP, FreeIPA, privacyIDEA und Rauthy sind einfacher zu konfigurieren und besser für kleinere oder selbstgehostete Setups geeignet.

Merkmale von Open-Source-MFA-Lösungen

• Multi-Tenant-Architektur: Ermöglicht mehrere unabhängige Benutzergruppen (Tenants) mit isolierten Daten und Konfigurationen.
• Token-Impersonation: Ermöglicht die sichere Token-Delegierung oder die Identitätsübernahme eines Benutzers/einer Anwendung für autorisierte Aktionen.
• Biometrische Authentifizierung: Bietet biometrische Faktoren wie Fingerabdrücke.
• Google Titan Security Key : Ein hardwarebasiertes Authentifizierungsgerät, das phishingresistente 2FA oder passwortloses Login ermöglicht.

Alle Tools (außer LDAP) unterstützen Hardware-Token (z. B. YubiKey) und das passwortlose Authentifizierungsprotokoll FIDO2/WebAuthN. FIDO2 verwendet keine gemeinsamen Geheimnisse wie Passwörter und minimiert so die mit Datenlecks verbundenen Sicherheitslücken.

Funktionen für Unternehmen

• OpenTelemetry: Open-Source-Standard und eine Reihe von Technologien zum Erfassen und Exportieren von Metriken, Traces und Logs.
• Benutzerdefinierte Sitzungen: Ermöglicht eine detaillierte Steuerung des Sitzungsverhaltens, wie zum Beispiel:
  • Wie und wann die Multi-Faktor-Authentifizierung ausgelöst wird (z. B. beim Login, bei sensiblen Aktionen).
  • Die Art der unterstützten MFA-Methoden (z. B. TOTP, WebAuthn, SMS)
• Selbstbedienungsfunktionen:
  • Passwort zurücksetzen
  • Benutzerregistrierung

Unterstützung für Privileged Access Management (PAM)

Tools mit PAM ermöglichen die Verwaltung der Zugriffsrechte privilegierter Benutzer.

Selbstprüfungsfunktionen

Selbstprüfungsfunktionen verbessern die Nachverfolgbarkeit von Protokollen , was für MFA-Tools (Multi-Faktor-Authentifizierung) von entscheidender Bedeutung ist. Sie helfen, unautorisierte oder verdächtige Aktivitäten zu verfolgen, wie z. B. das Aktivieren/Deaktivieren von MFA, fehlgeschlagene Anmeldeversuche und die Verwendung von Einmalpasswörtern (OTP).

MFA-Lösungen für Unternehmen

Keycloak, Authenlia, Authentik, Zitadel und Kanidm bieten umfassende MFA-Funktionen . Diese kostenlosen MFA- Tools bieten:

• Mehrere MFA-Methoden: TOTP (zeitbasiertes Einmalpasswort), WebAuthn, SMS, OIDC (OpenID Connect), E-Mail, Push-Benachrichtigung, biometrische Authentifizierung, und genehmigungsbasierte MFA.
• Mehrere Authentifizierungsprotokolle : OAuth2, OIDC (OpenID Connect), SAML, LDAP und RADIUS.
• Höhere Anpassungsmöglichkeiten: Granulare RBAC und benutzerdefinierte Social-SSO-Verbindungen (OIDC/OAuth2) über MFA-Richtlinien.

Schlüsselmantel

Keycloak ist eine Open-Source-IAM-Plattform, die SSO, Identitätsvermittlung, Social Login und RBAC abdeckt und SAML, OAuth2, OIDC und LDAP standardmäßig unterstützt.

• Keycloak unterstützt mehrere Datenbank-Backends, darunter PostgreSQL, MySQL, MariaDB, SQL Server und SQL Server. ¹
• Die Automatisierung administrativer Arbeitsabläufe, JWT-Autorisierungsberechtigungen, Kubernetes-Dienstkonto-Token-Authentifizierung für Clients und die vollständige OpenTelemetry-Unterstützung für Metriken und Protokollierung. ²

Keycloak ist komplexer zu installieren und zu konfigurieren als Authentik oder Authentik. Die standardmäßige Benutzeroberfläche für Administratoren ist sehr umfangreich und kann für Teams, die sich auf wenige Anwendungsfälle konzentrieren, schwer zu navigieren sein.

Authelia

Authelia ist ein Open-Source-Authentifizierungs- und Autorisierungsserver, der 2FA und SSO für Webanwendungen über einen Reverse-Proxy bereitstellt. Anstatt als eigenständige Identitätsplattform zu fungieren, dient er als Ergänzung zu Proxys wie nginx, Traefik, Caddy und HAProxy. Er ist vorgeschaltet und trifft die Authentifizierungsentscheidungen. Die Konfiguration wird vollständig über eine YAML-Datei verwaltet, was die Versionskontrolle und das Auditieren vereinfacht, jedoch Kenntnisse des Konfigurationsschemas voraussetzt.

Architektur und Ressourcenbedarf

Das Container-Image ist unter 20 MB groß und benötigt typischerweise weniger als 30 MB RAM, wodurch es zu den ressourcenschonenderen Optionen in dieser Liste zählt. Authelia ist OpenID Connect 1.0-zertifiziert und kann als OIDC-Provider für nachgelagerte Anwendungen fungieren. ³

Aktuelle Updates

Version 4.39 fügte Passkeys/passwortlose Anmeldung über WebAuthn, Device Code Flow für TV- und Bildschirmfreigabeszenarien, Netzwerkkriterien für OIDC-Autorisierungsrichtlinien und RFC8176 Authentication Method Reference-Unterstützung für die Kommunikation des Authentifizierungsniveaus an Dritte hinzu. ⁴

Hauptmerkmale

FIDO2 WebAuthn mit Hardware-Schlüsseln wie YubiKey, TOTP mit kompatiblen Authentifizierungs-Apps, mobile Push-Benachrichtigungen über Duo, passwortlose Anmeldung über Passkeys, richtlinienbasierte Zugriffskontrolle und Kubernetes-Unterstützung über Helm-Chart.

Einschränkungen

• Authelia bietet keine Mandantenfähigkeit, keine PAM-Unterstützung und keine integrierte Benutzeroberfläche zur Benutzerverwaltung. Benutzerkonten werden über ein LDAP-Backend oder eine statische YAML-Datei verwaltet.
• Teams, die ein Self-Service-Benutzerportal oder eine Geräteverwaltung benötigen, sollten stattdessen Authentik oder Kanidm in Betracht ziehen.

Authentik

Authentik ist eine selbstgehostete IAM-Plattform, die SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM und Vorwärtsauthentifizierung unterstützt. Im Vergleich zu Keycloak erfordert sie weniger Konfigurationsaufwand für Teams ohne Erfahrung mit dedizierter Identitätsinfrastruktur.

Aktuelle Updates

Version 2025.12 fügte die Endgeräteverwaltung für Windows, macOS und Linux über den Authentik Agent, die WebAuthn Conditional UI, eine vollständige RBAC-Überarbeitung mit mehreren übergeordneten Gruppen und rollenvererbten Berechtigungen sowie eine zentrale Dateiverwaltung mit S3-Unterstützung hinzu. ⁵

Version 2026.2 fügte einen WS-Federation-Provider für SharePoint- und Windows-native Anwendungen, einen Fleet Connector für Endgerätesignale und bedingten Zugriff, Linux PAM-Unterstützung für die lokale Geräteanmeldung sowie die Generierung von ED25519/ED448-Zertifikaten hinzu. ⁶

Sicherheit

Authentik führt jährlich Penetrationstests durch und verfügt über ein formelles Verfahren zur Meldung von CVEs. Im Februar 2026 wurden drei CVEs veröffentlicht, darunter eine kritische, die in den Versionen 2025.8.6, 2025.10.4 und 2025.12.4 behoben wurde. Teams, die selbstgehostete Instanzen verwenden, sollten diese regelmäßig aktualisieren. ⁷

Einschränkungen

• Ab Version 2025.10 wird Redis nicht mehr benötigt. Authenticik läuft ausschließlich auf PostgreSQL. ⁸
• PostgreSQL bleibt eine feste Abhängigkeit, was bei persönlichen Installationen auf einem einzelnen Host zusätzlichen operativen Aufwand bedeutet.
• Authentik bietet außerdem keine native OpenTelemetry-Unterstützung.

ZITADEL

ZITADEL ist eine selbstgehostete Identitätsinfrastrukturplattform, die auf Mandantenfähigkeit basiert. Sie unterstützt OpenID Connect, OAuth2, SAML 2, LDAP, Passkeys/FIDO2, OTP und SCIM 2.0.

Aktuelle Updates

ZITADEL hat die Migration der Kernressourceninstanzen, Organisationen, Projekte, Anwendungen und Benutzer auf eine ressourcenbasierte API v2 abgeschlossen. ⁹

• Login V2 erreichte allgemeine Verfügbarkeit und wurde in Version 4 zum Standard für Neukunden. Actions V2 ersetzte das eingebettete Erweiterungssystem V1 durch ereignisgesteuerte Webhooks, die außerhalb des Kernprozesses laufen und so Polyglot-Unterstützung und entkoppelte Skalierung ermöglichen. ¹⁰
• Die Unterstützung für CockroachDB wurde entfernt; ab Version 3 wird nur noch PostgreSQL unterstützt. ¹¹

Einschränkungen

Die Administration erfordert Kenntnisse des mehrschichtigen Mandantenmodells von ZITADEL, was die Einrichtung bei Implementierungen in einzelnen Organisationen komplexer gestaltet. Laut Roadmap 2026 arbeitet das Team an der Vereinfachung dieses Modells und der Vereinheitlichung der Verwaltungskonsole. ¹²

Kanidm

Kanidm ist eine in Rust geschriebene, selbstgehostete Identitätsmanagement-Plattform.

• Im Gegensatz zu LDAP, das lediglich Verzeichnisdienste bereitstellt, beinhaltet Kanidm native OAuth2-, OIDC-, RADIUS-, SSH-Schlüsselverwaltungs- und Linux-PAM-Integration, ohne dass externe Komponenten erforderlich sind.
• Die Administration erfolgt primär über die Kommandozeile (CLI); die Web-Oberfläche deckt die Selbstbedienung der Benutzer und einige Kontoverwaltungsfunktionen ab, jedoch nicht alle administrativen Aufgaben.

Aktuelle Updates

Die Web-Benutzeroberfläche wurde in dieser Version komplett überarbeitet und unterstützt nun Themes. Kanidm veröffentlicht vierteljährlich neue Versionen. Upgrades müssen daher nacheinander über jede Nebenversion durchgeführt werden. ¹³

Einschränkungen

Das CLI-basierte Administrationsmodell erfordert Erfahrung mit Kommandozeilen-Tools. Kanidms eigene Benchmarks mit 3.000 Benutzern und 1.500 Gruppen zeigen im Vergleich zu FreeIPA eine etwa dreimal schnellere Suche und fünfmal schnellere Schreibvorgänge, wobei die Ergebnisse je nach Arbeitslast variieren. ¹⁴

Leichtgewichtige MFA-Tools

Hanko, LDAP, FreeIPA, privacyIDEA und Rauthy decken einen engeren Anwendungsbereich ab als umfassende IAM-Plattformen wie Keycloak oder Authentik. Ihre Protokollunterstützung, Anpassungsmöglichkeiten und der Aufwand für die Bereitstellung variieren erheblich, weshalb die Kategoriebezeichnung „Lightweight“ ein breites Spektrum umfasst.

Hanko

Hanko ist ein Open-Source-Authentifizierungsdienst mit Fokus auf passwortloses Login. Er unterstützt Passkeys, TOTP, Sicherheitsschlüssel, OAuth SSO (Apple, Google, GitHub) und benutzerdefiniertes SAML SSO. Zudem umfasst er serverseitiges Sitzungsmanagement und die Möglichkeit zum Widerruf von Remote-Sitzungen.

Es unterstützt keine benutzerdefinierten OIDC/OAuth2-Verbindungen, Benutzeridentitätswechsel, privilegierte Sitzungen/Step-up-Sitzungen, E-Mail-Sicherheitsbenachrichtigungen oder benutzerdefinierte Benutzermetadaten. Teams, die diese Funktionen benötigen, brauchen eine Plattform mit umfassenderem Funktionsumfang.

LLDAP

LLDAP ist ein schlanker LDAP-Server. Er bietet eine standardmäßige LDAP-Schnittstelle und eine Web-Oberfläche für die grundlegende Benutzer- und Gruppenverwaltung, einschließlich des Zurücksetzens von Passwörtern per E-Mail. Er unterstützt keine Authentifizierungsprotokolle wie OAuth2 oder OIDC, da hierfür eine separate Komponente (z. B. Keycloak, Authenlia) vorgeschaltet werden muss.

Standardmäßig werden Benutzerdaten in SQLite gespeichert. MySQL/MariaDB und PostgreSQL werden ebenfalls unterstützt. LLDAP wird hauptsächlich in selbstgehosteten Umgebungen eingesetzt, in denen Anwendungen LDAP für Benutzerabfragen benötigen, der Betreiber aber den Betriebsaufwand von OpenLDAP vermeiden möchte.

Datenschutzidee

privacyIDEA ist ein MFA-Managementsystem, kein vollständiger Identitätsanbieter. Es verwaltet die Zwei-Faktor-Authentifizierung zentral: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, Push-Token, SMS, E-Mail und SSH-Schlüssel. Diese werden über eine API bereitgestellt, die von Authentifizierungs-Frontends (Keycloak, FreeIPA, Gluu, NGINX) genutzt wird. privacyIDEA selbst verarbeitet keine Authentifizierungsprotokolle.

Aktuelle Updates

Version 3.12 fügte Benutzerauflöser für Entra ID und Keycloak hinzu, wodurch Administratoren Benutzerdaten direkt aus diesen Verzeichnissen abrufen und Token in privacyIDEA zuweisen können, ohne einen separaten Synchronisierungsschritt. ¹⁵ Diese Version enthielt auch eine Vorschau auf eine neu gestaltete Web-Benutzeroberfläche; der vollständige Austausch der Benutzeroberfläche ist für Version 3.13 geplant. Die Unterstützung von Passkeys als eigenständiger Token-Typ wurde in Version 3.11 eingeführt. ¹⁶

Einschränkungen

• privacyIDEA beinhaltet weder Kerberos noch andere Authentifizierungsprotokolle nativ.
• Automatisierungs-Workflows (Registrierung, Rollover, Onboarding, Offboarding) sind konfigurierbar, erfordern jedoch eine API-Integration, die über das hinausgeht, was eine Standard-TOTP-Einrichtung in Keycloak beinhaltet.

FreeIPA

FreeIPA ist ein Identitätsverwaltungssystem für Linux- und UNIX-Umgebungen. Es bündelt ein LDAP-Verzeichnis (389-ds), einen Kerberos KDC, einen DNS-Server, eine Zertifizierungsstelle und Samba-Bibliotheken zur Active Directory-Integration in einer einzigen bereitstellbaren Einheit mit Web-UI und CLI.

Es unterstützt TOTP- und OTP-Token sowie FIDO2/Passkey-Authentifizierung. FreeIPA ist für Umgebungen konzipiert, die eine zentrale Linux-Host-Authentifizierung, die Ausstellung von Kerberos-Tickets, die Verwaltung von sudo-Richtlinien und Benutzerverzeichnisdienste erfordern.

Einschränkungen

• Die gebündelte Architektur bedeutet, dass die Bereitstellung von FreeIPA die Konfiguration mehrerer Subsysteme erfordert.
• Aktualisierungen und Upgrades bergen ein höheres Risiko als Einzelkomponenten-Tools, da Änderungen an einem gebündelten Dienst Auswirkungen auf die anderen haben können.
• Für Umgebungen, die keine Linux/UNIX-Host-basierte Authentifizierung verwenden, ist dies keine praktikable Wahl.

Rauthy

Rauthy ist ein OpenID Connect-Anbieter und eine Single-Sign-On-Lösung. Es unterstützt WebAuthn/FIDO2/Passkeys, TOTP und Social Login über externe Identitätsanbieter (GitHub, Google, Microsoft und weitere, die als generische OIDC-Upstreams konfiguriert sind). Es ist ressourcenschonend und wird als einzelne Binärdatei oder Container-Image bereitgestellt.

Ab Version 0.27 enthält Rauthy ein rauthy-pam-nss Modul, das die Linux PAM- und NSS-Integration ermöglicht und lokale Workstation-Logins über YubiKey-Passkeys sowie MFA-gesichertes SSH über temporäre Passwörter unterstützt. ¹⁷

Einschränkungen

Rauthy bietet weder RADIUS-Unterstützung noch einen integrierten LDAP-Server. Es fungiert als OIDC-Provider, gegen den sich andere Anwendungen authentifizieren; es ersetzt kein vollständiges Benutzerverzeichnis.

FAQs

Weiterführende Literatur

• Die 10 besten Lösungen für Multi-Faktor-Authentifizierung (MFA).
• Die 10 besten Open-Source-RBAC-Tools basierend auf den GitHub-Sternen

Referenzlinks

1.

FIPS 140-2 support - Keycloak

2.

Keycloak 26.5.0 released - Keycloak

Keycloak

3.

Authelia | Free Open-Source Software Modern IAM Solution

4.

Release v4.39.0 · authelia/authelia · GitHub

5.

authentik version 2025.12 is here! | authentik

6.

Release 2026.2 | authentik

7.

CVE-2026-25227 | authentik

8.

Release 2025.10 | authentik

9.

Zitadel Version 4 Release Candidate now available! · zitadel/zitadel · Discussion #10201 · GitHub

10.

ZITADEL Changelog | ZITADEL

11.

Release Cycle | ZITADEL Docs

12.

ZITADEL - Identity Infrastructure, Simplified

13.

Server Updates - Kanidm Administration

14.

GitHub - kanidm/kanidm: Kanidm: A simple, secure, and fast identity management platform · GitHub

15.

https://www.privacyidea.org/privacyidea-3-12-is-available/

16.

https://www.privacyidea.org/privacyidea-3-11-is-available/

17.

Introduction - Rauthy Documentation

Cem Dilmegani

Leitender Analyst

Folgen auf

Cem ist seit 2017 leitender Analyst bei AIMultiple. AIMultiple informiert monatlich Hunderttausende von Unternehmen (laut similarWeb), darunter 55 % der Fortune 500. Cems Arbeit wurde von führenden globalen Publikationen wie Business Insider, Forbes und der Washington Post, von globalen Unternehmen wie Deloitte und HPE sowie von NGOs wie dem Weltwirtschaftsforum und supranationalen Organisationen wie der Europäischen Kommission zitiert. Weitere namhafte Unternehmen und Ressourcen, die AIMultiple referenziert haben, finden Sie hier. Im Laufe seiner Karriere war Cem als Technologieberater, Technologieeinkäufer und Technologieunternehmer tätig. Über ein Jahrzehnt lang beriet er Unternehmen bei McKinsey & Company und Altman Solon in ihren Technologieentscheidungen. Er veröffentlichte außerdem einen McKinsey-Bericht zur Digitalisierung. Bei einem Telekommunikationsunternehmen leitete er die Technologiestrategie und -beschaffung und berichtete direkt an den CEO. Darüber hinaus verantwortete er das kommerzielle Wachstum des Deep-Tech-Unternehmens Hypatos, das innerhalb von zwei Jahren von null auf einen siebenstelligen jährlichen wiederkehrenden Umsatz und eine neunstellige Unternehmensbewertung kam. Cems Arbeit bei Hypatos wurde von führenden Technologiepublikationen wie TechCrunch und Business Insider gewürdigt. Er ist ein gefragter Redner auf internationalen Technologiekonferenzen. Cem absolvierte sein Studium der Informatik an der Bogazici-Universität und besitzt einen MBA der Columbia Business School.

Vollständiges Profil anzeigen

Recherchiert von

Sena Sezer

Branchenanalyst

Folgen auf

Sena ist Branchenanalystin bei AIMultiple. Sie hat ihren Bachelor-Abschluss an der Bogazici-Universität erworben.

Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich.

Name

E-Mail-Adresse

Kommentar

0/450

Kommentar posten