Wenn Sie Ihre kostenlose und Open-Source-Multi-Faktor-Authentifizierung (MFA)-Implementierung starten, beachten Sie Folgendes:
- Enterprise-MFA-Lösungen: Keycloak, Authelia, Authentik, Zitadel und Kanidm bieten vollständiges Identity and Access Management (IAM) mit Unterstützung für mehrere Authentifizierungsprotokolle.
- Leichte MFA-Tools: Hanko, LLDAP, FreeIPA, privacyIDEA und Rauthy sind einfacher zu konfigurieren und besser für kleinere oder selbst gehostete Setups geeignet.
Funktionen von Open-Source-MFA-Lösungen
- Multi-Tenancy-Architektur: Ermöglicht mehrere unabhängige Benutzergruppen (Tenants) mit isolierten Daten und Konfigurationen.
- Token-Imitation: Ermöglicht die sichere Token-Delegation oder Imitation eines Benutzers/einer Anwendung für autorisierte Aktionen.
- Biometrische Authentifizierung: Bietet biometrische Faktoren wie Fingerabdrücke.
- Google Titan Security Key: Ein hardwarebasiertes Authentifizierungsgerät, das phishing-resistentes 2FA oder eine passwortlose Anmeldung bietet.
Alle Tools (außer LDAP) unterstützen Hardware-Token (z. B. YubiKey) und das FIDO2-/WebAuthN-Protokoll für passwortlose Authentifizierung. FIDO2 verwendet keine geteilten Geheimnisse wie Passwörter; es minimiert die mit Datenpannen verbundenen Risiken.
Enterprise-Funktionen
- OpenTelemetry: Open-Source-Standard und eine Reihe von Technologien zur Erfassung und Exportierung von Metriken, Spuren und Protokollen.
- Benutzerdefinierte Sitzungen: Ermöglicht eine feingranulare Steuerung des Sitzungsverhaltens, wie z. B.:
- Wie und wann MFA ausgelöst wird (z. B. bei der Anmeldung, für sensible Aktionen).
- Die Art der unterstützten MFA-Methoden (z. B. TOTP, WebAuthn, SMS)
- Self-Service-Funktionen:
- Passwortzurücksetzung
- Benutzerregistrierung
Unterstützung für Privileged Access Management (PAM)
Tools mit PAM ermöglichen es Ihnen, die Zugriffsrechte privilegierter Benutzer zu verwalten.
Selbst-Audit-Fähigkeiten
Selbst-Audit-Fähigkeiten verbessern die Protokoll-Nachverfolgbarkeit, was für MFA- (Multi-Faktor-Authentifizierung) Tools kritisch ist. Sie helfen, unbefugte oder verdächtige Aktivitäten zu verfolgen, wie z. B. das Aktivieren/Deaktivieren von MFA, fehlgeschlagene Anmeldeversuche und die OTP-Nutzung.
Enterprise-MFA-Lösungen
Keycloak, Authelia, Authentik, Zitadel und Kanidm bieten umfangreiche MFA-Fähigkeiten. Diese kostenlosen MFA-Tools bieten:
- Verschiedene MFA-Methoden: TOTP (zeitbasiertes Einmalpasswort), WebAuthn, SMS, OIDC (OpenID Connect), E-Mail, Push, biometrische Authentifizierung, und genehmigungsbasiertes MFA.
- Verschiedene Authentifizierungsprotokolle: OAuth2, OIDC (OpenID Connect), SAML, LDAP und RADIUS.
- Höhere Anpassbarkeit: Granulares RBAC und benutzerdefinierte soziale SSO-Verbindungen (OIDC/OAuth2) über MFA-Richtlinien.
Keycloak
Keycloak ist eine Open-Source-IAM-Plattform, die SSO, Identity Brokering, Social Login und RBAC abdeckt und SAML, OAuth2, OIDC und LDAP out of the Box unterstützt.
- Keycloak unterstützt mehrere Datenbank-Backends, einschließlich PostgreSQL, MySQL, MariaDB, Oracle und Microsoft SQL Server.1
- Die Automatisierung des administrativen Workflows, JWT Authorization Grants, Kubernetes Service Account Token-Authentifizierung für Clients und vollständige OpenTelemetry-Unterstützung für Metriken und Protokollierung. 2
Keycloak ist komplexer zu installieren und zu konfigurieren als Authelia oder Authentik. Die Standard-Admin-UI deckt eine große Fläche ab, die für Teams, die sich auf einen begrenzten Anwendungsbereich konzentrieren, schwer zu navigieren sein kann.
Authelia
Authelia ist ein Open-Source-Authentifizierungs- und Autorisierungsserver, der 2FA und SSO für Webanwendungen über einen Proxy bereitstellt. Anstatt als eigenständige Identitätsplattform zu fungieren, fungiert es als Begleiter für Proxies wie nginx, Traefik, Caddy und HAProxy, die vor Anwendungen sitzen und Authentifizierungsentscheidungen treffen. Die Konfiguration wird vollständig über eine YAML-Datei verwaltet, was sie einfach versionierbar und auditierbar macht, aber Vertrautheit mit dem Konfigurationsschema erfordert.
Architektur und Ressourcenverbrauch
Das Container-Image ist unter 20 MB groß und verwendet typischerweise unter 30 MB RAM, was es zu einer der leichteren Optionen in dieser Liste macht. Authelia hat die OpenID Connect 1.0-Zertifizierung erreicht und kann als OIDC-Anbieter für nachgelagerte Anwendungen fungieren.3
Neueste Updates
Version 4.39 fügte Passkeys/passwortlose Anmeldung via WebAuthn, Device Code Flow für TV- und geteilte Bildschirm-Anmeldeszenarien, Netzwerkkriterien für OIDC-Autorisierungsrichtlinien und RFC8176 Authentication Method Reference-Unterstützung zur Kommunikation des Authentifizierungslevels an Dritte hinzu.4
Hauptmerkmale
FIDO2 WebAuthn mit Hardware-Schlüsseln wie YubiKey, TOTP mit kompatiblen Authenticator-Apps, mobile Push-Benachrichtigungen via Duo, passwortlose Anmeldung via Passkeys, policy-basierte Zugriffskontrolle und Kubernetes-Unterstützung via Helm-Chart.
Einschränkungen
- Authelia hat keine Multi-Tenancy, keine PAM-Unterstützung und keine integrierte Benutzerverwaltungs-UI; Benutzerkonten werden über LDAP-Backend oder eine statische YAML-Datei verwaltet.
- Teams, die ein Self-Service-Benutzerportal oder Gerätemanagement benötigen, sollten stattdessen Authentik oder Kanidm evaluieren.
Authentik
Authentik ist eine selbst gehostete IAM-Plattform, die SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM und Forward Authentication abdeckt. Im Vergleich zu Keycloak erfordert es weniger anfängliche Konfiguration für Teams ohne Erfahrung mit dedizierter Identitätsinfrastruktur.
Neueste Updates
Version 2025.12 fügte Endpoint Device Management für Windows, macOS und Linux via den Authentik Agent, WebAuthn Conditional UI, ein vollständiges RBAC-Overhaul mit Multi-Parent-Gruppen und rollenvererbten Berechtigungen sowie zentrales Dateimanagement mit S3-Unterstützung hinzu.5
Version 2026.2 fügte einen WS-Federation-Anbieter für SharePoint und Windows-native Anwendungen, einen Fleet Connector für Endpoint Device Signale und bedingten Zugriff, Linux PAM-Unterstützung für lokale Geräteanmeldungen sowie ED25519/ED448-Zertifikatsgenerierung hinzu.6
Sicherheit
Authentik unterhält ein jährliches Penetrationstest-Programm und einen formellen CVE-Offenlegungsprozess. Drei CVEs wurden im Februar 2026 veröffentlicht, darunter ein kritisches, gepatcht in den Versionen 2025.8.6, 2025.10.4 und 2025.12.4. Teams, die selbst gehostete Instanzen betreiben, sollten Updates aufrechterhalten.7
Einschränkungen
- Ab Version 2025.10 ist Redis nicht mehr erforderlich; Authentik läuft nur auf PostgreSQL.8
- PostgreSQL bleibt eine harte Abhängigkeit, was für Single-Host-Personal-Deployments zusätzlichen operativen Aufwand bedeutet.
- Authentik hat auch keine native OpenTelemetry-Unterstützung.
ZITADEL
ZITADEL ist eine selbst gehostete Identitätsinfrastrukturplattform, die um Multi-Tenancy herum aufgebaut ist. Es unterstützt OpenID Connect, OAuth2, SAML 2, LDAP, Passkeys/FIDO2, OTP und SCIM 2.0.
Neueste Updates
ZITADEL hat die Migration der Kernressourcen Instanzen, Organisationen, Projekte, Anwendungen und Benutzer zu einer ressourcenbasierten API v2 abgeschlossen.9
- Login V2 wurde allgemein verfügbar und ist ab v4 der Standard für neue Kunden. Actions V2 ersetzte das eingebettete V1-Erweiterungssystem durch ereignisgesteuerte Webhooks, die außerhalb des Kernprozesses ausgeführt werden, was polyglotte Unterstützung und entkoppeltes Skalieren ermöglicht.10
- Die CockroachDB-Unterstützung wurde entfernt; PostgreSQL ist ab Version 3 die einzige unterstützte Datenbank. 11
Einschränkungen
Die Administration erfordert Vertrautheit mit dem mehrschichtigen Tenant-Modell von ZITADEL, was die Setup-Komplexität für Single-Organization-Deployments erhöht. Die Roadmap 2026 zeigt, dass das Team an der Vereinfachung dieses Modells und der Vereinheitlichung der Managementkonsole arbeitet.12
Kanidm
Kanidm ist eine selbst gehostete Identitätsmanagementplattform, die in Rust geschrieben ist.
- Im Gegensatz zu LDAP, das nur Verzeichnisdienste bietet, umfasst Kanidm natives OAuth2, OIDC, RADIUS, SSH-Schlüsselmanagement und Linux PAM-Integration ohne externe Komponenten.
- Die Administration erfolgt primär über die CLI; die Web-UI deckt Benutzerself-Service und einige Kontoverwaltungsfunktionen ab, aber keine vollständigen Administrationsaufgaben.
Neueste Updates
Die Web-UI wurde in diesem Release neu geschrieben, mit Theming-Unterstützung. Kanidm folgt einem vierteljährlichen Release-Zeitplan. Upgrades müssen sequentiell durch jede Minor-Version durchgeführt werden.13
Einschränkungen
Das CLI-first-Administrationsmodell erfordert Komfort mit Command-Line-Tools. Kanidm’s eigene Benchmarks mit 3.000 Benutzern und 1.500 Gruppen berichten von etwa 3x schnellerer Suche und 5x schnelleren Schreibvorgängen im Vergleich zu FreeIPA, obwohl die Ergebnisse je nach Arbeitslast variieren.14
Leichte MFA-Tools
Hanko, LDAP, FreeIPA, privacyIDEA und Rauthy decken engere Bereiche ab als vollständige IAM-Plattformen wie Keycloak oder Authentik. Ihre Protokollunterstützung, Anpassungsoptionen und Bereitstellungskomplexität variieren erheblich, sodass die Kategorie „leicht“ eine breite Palette abdeckt.
Hanko
Hanko ist ein Open-Source-Authentifizierungsdienst, der sich auf passwortlose Anmeldung konzentriert. Es unterstützt Passkeys, TOTP, Sicherheitsschlüssel, OAuth SSO (Apple, Google, GitHub) und benutzerdefiniertes SAML SSO. Es umfasst serverseitiges Sitzungsmanagement und Remote-Sitzungswiderruf.
Es unterstützt keine benutzerdefinierten OIDC/OAuth2-sozialen Verbindungen, Benutzerimitation, privilegierte/Step-up-Sitzungen, E-Mail-Sicherheitsbenachrichtigungen oder benutzerdefinierte Benutzermetadaten. Teams, die diese Funktionen benötigen, benötigen eine voll funktionsfähige Plattform.
LLDAP
LLDAP ist ein leichter LDAP-Server. Es bietet eine Standard-LDAP-Schnittstelle und eine Web-UI für grundlegende Benutzer- und Gruppenverwaltung, einschließlich Passwortzurücksetzung per E-Mail. Es bietet keine Authentifizierungsprotokolle wie OAuth2 oder OIDC, die eine separate Komponente (Keycloak, Authelia usw.) erfordern, die davor platziert wird.
Standardmäßig werden Benutzerdaten in SQLite gespeichert. MySQL/MariaDB und PostgreSQL werden ebenfalls unterstützt. LLDAP wird hauptsächlich in selbst gehosteten Umgebungen verwendet, in denen Anwendungen LDAP für Benutzerabfragen benötigen, der Betreiber jedoch den operativen Aufwand von OpenLDAP vermeiden möchte.
privacyIDEA
privacyIDEA ist ein MFA-Verwaltungssystem, kein vollständiger Identitätsanbieter. Es verwaltet zweite Faktoren zentral: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, Push-Token, SMS, E-Mail und SSH-Schlüssel und stellt diese über eine API bereit, die Authentifizierungs-Frontends (Keycloak, FreeIPA, Gluu, NGINX) konsumieren. Es verarbeitet Authentifizierungsprotokolle selbst nicht.
Neueste Updates
Version 3.12 fügte Benutzer-Resolver für Entra ID und Keycloak hinzu, die Administratoren ermöglichen, Benutzerdaten direkt aus diesen Verzeichnissen zu ziehen und Token in privacyIDEA ohne separaten Sync-Schritt zuzuweisen.15 Diese Version führte auch eine Vorschau einer neu gestalteten Web-UI ein; der vollständige UI-Ersatz ist für Version 3.13 geplant. Die Passkey-Unterstützung als eigenständiger Token-Typ wurde in Version 3.11 eingeführt.16
Einschränkungen
- privacyIDEA enthält Kerberos oder andere Authentifizierungsprotokolle nicht nativ.
- Automatisierungsworkflows (Registrierung, Roll-over, Onboarding, Offboarding) sind konfigurierbar, erfordern jedoch eine API-Integration, die über das hinausgeht, was ein TOTP-Setup out of the Box in Keycloak beinhaltet.
FreeIPA
FreeIPA ist ein Identitätsmanagementsystem für Linux- und UNIX-Umgebungen. Es bündelt ein LDAP-Verzeichnis (389-ds), einen Kerberos KDC, einen DNS-Server, eine Zertifizierungsstelle und Samba-Bibliotheken für die Active Directory-Integration in eine einzige bereitstellbare Einheit mit einer Web-UI und einer CLI.
Es unterstützt TOTP- und OTP-Token sowie FIDO2/Passkey-Authentifizierung. FreeIPA ist für Umgebungen konzipiert, die eine zentralisierte Linux-Host-Authentifizierung, Kerberos-Ticketausstellung, Sudo-Richtlinienverwaltung und Benutzerverzeichnisdienste erfordern.
Einschränkungen
- Die gebündelte Architektur bedeutet, dass die Bereitstellung von FreeIPA die Konfiguration mehrerer Subsysteme erfordert.
- Updates und Upgrades bergen ein höheres Risiko als Tools mit einzelnen Komponenten, da Änderungen an jedem gebündelten Dienst die anderen beeinflussen können.
- Es ist keine praktikable Wahl für Umgebungen, die keine Linux/UNIX-basierte Host-Authentifizierung verwenden.
Rauthy
Rauthy ist ein OpenID Connect-Anbieter und Single-Sign-On-Lösung. Es unterstützt WebAuthn/FIDO2/Passkeys, TOTP und Social Login über externe Identitätsanbieter (GitHub, Google, Microsoft und andere, die als generische OIDC-Upstreams konfiguriert sind). Es ist für geringen Ressourcenverbrauch konzipiert und wird als einzelne Binärdatei oder Container-Image ausgeliefert.
Ab Version 0.27 enthält Rauthy ein rauthy-pam-nss-Modul, das Linux PAM- und NSS-Integration ermöglicht und lokale Workstation-Anmeldungen via YubiKey-Passkeys und MFA-gesichertes SSH via ephemere Passwörter unterstützt.17
Einschränkungen
Rauthy enthält keine RADIUS-Unterstützung oder einen integrierten LDAP-Server. Es fungiert als OIDC-Anbieter, gegen den andere Anwendungen authentifizieren; es ersetzt kein vollständiges Benutzerverzeichnis.
FAQs
Multi-Faktor-Authentifizierung (MFA) erfordert, dass der Benutzer zwei oder mehr Verifizierungsfaktoren bereitstellt, um auf eine Ressource wie eine Anwendung, ein Online-Konto oder ein VPN zuzugreifen. Es ist unerlässlich, eine effektive Identity and Access Management (IAM)-Richtlinie zu haben. Anstatt einfach einen Benutzernamen und ein Passwort anzufordern, erfordert MFA einen oder mehrere Verifizierungsfaktoren, was die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs verringert.
MFA funktioniert, indem zusätzliche Verifizierungsdaten (Faktoren) angefordert werden. Einmalpasswörter sind einer der häufigsten MFA-Faktoren, auf die Benutzer stoßen.
OTPs sind diese 4-8-stelligen Codes, die Sie häufig per E-Mail, SMS oder einer mobilen App erhalten. OTPs generieren regelmäßig oder bei jeder Authentifizierungsanfrage einen neuen Code. Der Code wird unter Verwendung eines dem Benutzer bei der ersten Registrierung zugewiesenen Seed-Werts sowie eines weiteren Faktors generiert, der von einem inkrementierten Zähler bis zu einem Zeitwert alles sein kann.
Betrachten Sie Ihr Passwort wie ein Türschloss. Wenn jemand Ihr Passwort entdeckt, ist es so, als hätten sie den Schlüssel zum Schloss gefunden. Ohne MFA können sie einfach hereinstöbern.
MFA fordert Benutzer jedoch nach zusätzlicher Verifizierung auf, z. B. die Eingabe eines Codes, der an ihr Telefon gesendet wurde, oder das Scannen ihres Fingerabdrucks.
Dieser zusätzliche Schritt macht es Angreifern viel schwerer, hereinzukommen. Selbst wenn eine dritte Partei eine Art von Authentifizierung erhält (wie Ihr Passwort), benötigen sie immer noch einen zweiten oder dritten Faktor, der schwieriger zu beschaffen ist.
Weiterführende Literatur
- Top 10 Multi-Faktor-Authentifizierungs (MFA)-Lösungen
- Top 10 Open-Source-RBAC-Tools basierend auf GitHub-Sternen
Diese Forschung zitieren
Wählen Sie das Format, das zu Ihrem Veröffentlichungsort passt. Wenn Sie die Link-Version in Ihr CMS einfügen, bleibt der Backlink erhalten.
@misc{dilmegani2026,
author = {Dilmegani, Cem and Sezer, Sena},
title = {{Vergleich von 10 Open-Source-MFA-Tools}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/open-source-mfa}},
note = {AIMultiple. Abgerufen am 3. Juni 2026}
}









Seien Sie der Erste, der kommentiert
Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich. Kommentare werden in ihrer Originalsprache belassen.