Servizi
Contattaci

Confronta 10 Strumenti MFA Open Source

Cem Dilmegani
Cem Dilmegani
aggiornato il 3 giu. 2026
Loading Chart

Quando inizi la tua implementazione gratuita e open source di autenticazione a più fattori (MFA), considera:

  • Soluzioni MFA di livello aziendale: Keycloak, Authelia, Authentik, Zitadel e Kanidm offrono una gestione completa dell'identità e degli accessi (IAM) con supporto per molteplici protocolli di autenticazione.
  • Strumenti MFA leggeri: Hanko, LLDAP, FreeIPA, privacyIDEA e Rauthy sono più semplici da configurare e più adatti a configurazioni più piccole o self-hosted.

Funzionalità delle soluzioni MFA open source

  • Architettura multi-tenant: Consente a più gruppi di utenti indipendenti (tenant) di avere dati e configurazioni isolati.
  • Impersonificazione token: Consente la delega sicura del token o l'impersonificazione di un utente/applicazione per azioni autorizzate.
  • Autenticazione biometrica: Offre fattori biometrici come le impronte digitali.
  • Google Titan Security Key: Un dispositivo di autenticazione basato sull'hardware che fornisce 2FA resistente al phishing o accesso senza password.

Tutti gli strumenti (tranne LDAP) supportano token hardware (ad es. YubiKey) e il protocollo di autenticazione senza password FIDO2 / WebAuthN. FIDO2 non utilizza segreti condivisi, come le password; minimizza le vulnerabilità associate alle violazioni dei dati.

Funzionalità aziendali

  • OpenTelemetry: Standard open source e un insieme di tecnologie per la cattura e l'esportazione di metriche, tracce e log.
  • Sessioni personalizzate: Consente un controllo granulare sui comportamenti delle sessioni, come:
    • Come e quando viene attivato l'MFA (ad es. all'accesso, per azioni sensibili).
    • Il tipo di metodi MFA supportati (ad es. TOTP, WebAuthn, SMS)
  • Funzionalità self-service:
    • Reimpostazione password
    • Registrazione utente

Supporto per la gestione degli accessi privilegiati (PAM)

Gli strumenti con PAM ti consentono di gestire i diritti di accesso degli utenti privilegiati.

Capacità di auto-audit

Le capacità di auto-audit migliorano la tracciabilità del log, che è fondamentale per gli strumenti MFA (autenticazione a più fattori). Aiutano a tracciare attività non autorizzate o sospette, come l'abilitazione/disabilitazione di MFA, i tentativi di accesso falliti e l'uso di OTP.

Soluzioni MFA di livello aziendale

Keycloak, Authelia, Authentik, Zitadel e Kanidm offrono ampie funzionalità MFA. Questi gratuiti strumenti MFA offrono:

  • Più metodi MFA: TOTP (password monouso basata sul tempo), WebAuthn, SMS, OIDC (OpenID Connect), Email, Push, autenticazione biometrica, e MFA basata sull'approvazione.
  • Più protocolli di autenticazione: OAuth2, OIDC (OpenID Connect), SAML, LDAP e RADIUS.
  • Personalizzazione superiore: RBAC granulare e connessioni social SSO personalizzate (OIDC/OAuth2) rispetto alle politiche MFA.

Keycloak

Keycloak è una piattaforma IAM open source che copre SSO, brokeraggio identità, accesso social e RBAC, e supporta SAML, OAuth2, OIDC e LDAP out of the box.

  • Keycloak supporta più backend di database, inclusi PostgreSQL, MySQL, MariaDB, Oracle e Microsoft SQL Server.1
  • Automazione del flusso di lavoro amministrativo, JWT Authorization Grants, autenticazione token account servizio Kubernetes per client e supporto completo OpenTelemetry per metriche e logging. 2

Keycloak è più complesso da installare e configurare rispetto a Authelia o Authentik. La UI admin predefinita copre un'ampia area che può essere difficile da navigare per i team focalizzati su un insieme ristretto di casi d'uso.

Authelia

Authelia è un server di autenticazione e autorizzazione open source che fornisce 2FA e SSO per applicazioni web tramite un proxy inverso. Piuttosto che agire come piattaforma identità autonoma, funziona come un compagno per proxy come nginx, Traefik, Caddy e HAProxy, posizionandosi davanti alle applicazioni e gestendo le decisioni di autenticazione. La configurazione è gestita interamente tramite un file YAML, il che rende semplice il controllo della versione e l'audit, ma richiede familiarità con lo schema di configurazione.

Architettura e footprint delle risorse

L'immagine del container è inferiore a 20 MB e tipicamente utilizza meno di 30 MB di RAM, rendendolo una delle opzioni più leggere in questa lista. Authelia ha ottenuto la certificazione OpenID Connect 1.0 e può agire come provider OIDC per applicazioni a valle.3

Aggiornamenti recenti

La versione 4.39 ha aggiunto passkey/accesso senza password tramite WebAuthn, Device Code Flow per scenari di accesso TV e schermo condiviso, criteri di rete per le politiche di autorizzazione OIDC e supporto RFC8176 Authentication Method Reference per comunicare il livello di autenticazione a terze parti.4

Funzionalità chiave

FIDO2 WebAuthn con chiavi hardware come YubiKey, TOTP con app autenticatore compatibili, notifiche push mobili tramite Duo, accesso senza password tramite passkey, controllo degli accessi basato su politiche e supporto Kubernetes tramite chart Helm.

Limitazioni

  • Authelia non ha multi-tenancy, nessun supporto PAM e nessuna UI di gestione utenti integrata; gli account utente sono gestiti tramite backend LDAP o un file YAML statico.
  • I team che necessitano di un portale utente self-service o di gestione dispositivi dovrebbero valutare Authentik o Kanidm invece.

Authentik

Authentik è una piattaforma IAM self-hosted che copre SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM e autenticazione forward. Rispetto a Keycloak, richiede meno configurazione iniziale per i team senza esperienza dedicata nell'infrastruttura identità.

Aggiornamenti recenti

La versione 2025.12 ha aggiunto la gestione dispositivi endpoint per Windows, macOS e Linux tramite l'Agente Authentik, WebAuthn Conditional UI, una completa revisione RBAC con gruppi multi-genitore e permessi ereditati dai ruoli, e gestione file centralizzata con supporto S3.5

La versione 2026.2 ha aggiunto un provider WS-Federation per SharePoint e applicazioni native Windows, un connettore fleet per segnali dispositivi endpoint e accesso condizionale, supporto Linux PAM per accesso locale dispositivo e generazione certificati ED25519/ED448.6

Sicurezza

Authentik mantiene un programma annuale di penetration testing e un processo formale di divulgazione CVE. Tre CVE sono stati pubblicati a febbraio 2026, incluso uno critico, patchati nelle versioni 2025.8.6, 2025.10.4 e 2025.12.4. I team che eseguono istanze self-hosted dovrebbero mantenere gli aggiornamenti.7

Limitazioni

  • A partire dalla versione 2025.10, Redis non è più richiesto; Authentik gira solo su PostgreSQL.8
  • PostgreSQL rimane una dipendenza obbligatoria, il che aggiunge overhead operativo per distribuzioni personali su singolo host.
  • Authentik non ha anche supporto nativo OpenTelemetry.

ZITADEL

ZITADEL è una piattaforma di infrastruttura identità self-hosted costruita attorno al multi-tenancy. Supporta OpenID Connect, OAuth2, SAML 2, LDAP, passkey/FIDO2, OTP e SCIM 2.0.

Aggiornamenti recenti

ZITADEL ha completato la migrazione delle risorse core (istanze, organizzazioni, progetti, applicazioni e utenti) a un'API v2 basata su risorse.9

  • Login V2 ha raggiunto la disponibilità generale ed è diventato il default per i nuovi clienti in v4. Actions V2 ha sostituito il sistema di estensioni V1 incorporato con webhook guidati da eventi che girano fuori dal processo core, abilitando supporto poliglotta e scaling disaccoppiato.10
  • Il supporto CockroachDB è stato rimosso; PostgreSQL è l'unico database supportato dalla versione 3 in poi. 11

Limitazioni

L'amministrazione richiede familiarità con il modello tenant multistrato di ZITADEL, che aggiunge complessità di configurazione per distribuzioni di singola organizzazione. La roadmap 2026 indica che il team sta lavorando a semplificare questo modello e unificare la console di gestione.12

Kanidm

Kanidm è una piattaforma di gestione identità self-hosted scritta in Rust.

  • A differenza di LDAP, che fornisce solo servizi di directory, Kanidm include OAuth2 nativo, OIDC, RADIUS, gestione chiavi SSH e integrazione Linux PAM senza richiedere componenti esterni.
  • L'amministrazione è principalmente basata su CLI; la UI web copre il self-service utente e alcune funzioni di gestione account, ma non compiti amministrativi completi.

Aggiornamenti recenti

La UI web è stata riscritta in questa release, con supporto per i temi. Kanidm segue un programma di rilascio trimestrale. Gli aggiornamenti devono essere eseguiti sequenzialmente attraverso ogni versione minore.13

Limitazioni

Il modello di amministrazione CLI-first richiede familiarità con gli strumenti da riga di comando. I benchmark di Kanidm con 3.000 utenti e 1.500 gruppi riportano circa 3 volte più veloce nella ricerca e 5 volte più veloce nelle operazioni di scrittura rispetto a FreeIPA, sebbene i risultati varino in base al carico di lavoro.14

Strumenti MFA leggeri

Hanko, LDAP, FreeIPA, privacyIDEA e Rauthy coprono ambiti più ristretti rispetto alle piattaforme IAM complete come Keycloak o Authentik. Il supporto dei protocolli, le opzioni di personalizzazione e la complessità di deployment variano significativamente, quindi l'etichetta di categoria "leggero" copre un'ampia gamma.

Non perderti i nostri benchmark e approfondimenti basati sui dati. Il pulsante apre Google; selezionare AIMultiple conferma che desideri vedere AIMultiple più spesso nei risultati di ricerca di Google.
GoogleAggiungi come fonte preferita

Hanko

Hanko è un servizio di autenticazione open source focalizzato sull'accesso senza password. Supporta passkey, TOTP, chiavi di sicurezza, OAuth SSO (Apple, Google, GitHub) e SAML SSO personalizzato. Include gestione sessioni lato server e revoca remota delle sessioni.

Non supporta connessioni social OIDC/OAuth2 personalizzate, impersonificazione utente, sessioni privilegiate/step-up, notifiche di sicurezza email o metadati utente personalizzati. I team che richiedono queste funzionalità hanno bisogno di una piattaforma più completa.

LLDAP

LLDAP è un server LDAP leggero. Espone un'interfaccia LDAP standard e una UI web per la gestione base di utenti e gruppi, inclusi reset password via email. Non fornisce protocolli di autenticazione come OAuth2 o OIDC, che richiedono un componente separato (Keycloak, Authelia, ecc.) posizionato davanti ad esso.

Di default, i dati utente sono archiviati in SQLite. MySQL/MariaDB e PostgreSQL sono anche supportati. LLDAP è utilizzato principalmente in ambienti self-hosted dove le applicazioni richiedono LDAP per le ricerche utente, ma l'operatore vuole evitare l'overhead operativo di OpenLDAP.

privacyIDEA

privacyIDEA è un sistema di gestione MFA, non un provider di identità completo. Gestisce centralmente i secondi fattori: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, token push, SMS, email e chiavi SSH ed espone questi tramite un'API che i front-end di autenticazione (Keycloak, FreeIPA, Gluu, NGINX) consumano. Non gestisce i protocolli di autenticazione stessi.

Aggiornamenti recenti

La versione 3.12 ha aggiunto resolver utente per Entra ID e Keycloak, consentendo agli amministratori di estrarre dati utente direttamente da quelle directory e assegnare token in privacyIDEA senza un passo di sincronizzazione separato.15 Questa versione ha anche introdotto un'anteprima di una UI web ridisegnata; la sostituzione completa della UI è prevista per la versione 3.13. Il supporto passkey come tipo di token distinto è stato introdotto nella versione 3.11.16

Limitazioni

  • privacyIDEA non include Kerberos o altri protocolli di autenticazione nativamente.
  • I flussi di lavoro di automazione (registrazione, rinnovo, onboarding, offboarding) sono configurabili ma richiedono integrazione API oltre a quanto comporta una configurazione TOTP out-of-the-box in Keycloak.

FreeIPA

FreeIPA è un sistema di gestione identità per ambienti Linux e UNIX. Include una directory LDAP (389-ds), un KDC Kerberos, un server DNS, un'autorità di certificazione e librerie Samba per l'integrazione Active Directory in un'unica unità distribuibile con UI web e CLI.

Supporta token TOTP e OTP, nonché autenticazione FIDO2/passkey. FreeIPA è progettato per ambienti che richiedono autenticazione host Linux centralizzata, emissione ticket Kerberos, gestione politiche sudo e servizi directory utente.

Limitazioni

  • L'architettura bundled significa che distribuire FreeIPA comporta la configurazione di più sottosistemi.
  • Aggiornamenti e upgrade comportano più rischio rispetto agli strumenti a componente singola perché le modifiche a qualsiasi servizio bundled possono influenzare gli altri.
  • Non è una scelta pratica per ambienti che non utilizzano autenticazione host basata su Linux/UNIX.

Rauthy

Rauthy è un provider OpenID Connect e una soluzione single sign-on. Supporta WebAuthn/FIDO2/passkey, TOTP e accesso social tramite provider di identità esterni (GitHub, Google, Microsoft e altri configurati come upstream OIDC generici). È progettato per basso consumo di risorse e viene fornito come singolo binario o immagine container.

Dalla versione 0.27, Rauthy include un modulo rauthy-pam-nss che abilita l'integrazione Linux PAM e NSS, supportando accessi workstation locali tramite passkey YubiKey e SSH protetto da MFA tramite password effimere.17

Limitazioni

Rauthy non include supporto RADIUS o un server LDAP integrato. Funziona come provider OIDC contro cui altre applicazioni si autenticano; non sostituisce una directory utenti completa.

FAQ

L'autenticazione a più fattori (MFA) richiede all'utente di fornire due o più fattori di verifica per accedere a una risorsa come un'applicazione, un account online o una VPN. È essenziale avere una politica efficace di gestione dell'identità e degli accessi (IAM). Piuttosto che richiedere semplicemente un nome utente e una password, l'MFA richiede uno o più fattori di verifica, riducendo la probabilità di un attacco informatico riuscito.

L'MFA funziona richiedendo dati di verifica aggiuntivi (fattori). Le password monouso sono uno dei fattori MFA più comuni che gli utenti incontrano.
Gli OTP sono quei codici di 4-8 cifre che ricevi frequentemente via email, SMS o un'app mobile. Gli OTP generano un nuovo codice regolarmente o ogni volta che viene inviata una richiesta di autenticazione. Il codice è generato utilizzando un valore seed assegnato all'utente quando si registra per la prima volta, nonché un altro fattore, che potrebbe essere qualsiasi cosa da un contatore incrementato a un valore temporale.

Considera la tua password simile a una serratura della porta d'ingresso. Se qualcuno scopre la tua password, è come se avesse trovato la chiave della serratura. Senza MFA, possono entrare direttamente.

Tuttavia, l'MFA chiede agli utenti una verifica extra, come inserire un codice inviato al telefono o scansionare l'impronta digitale.

Questo passaggio extra rende molto più difficile per gli attaccanti entrare. Anche se una terza parte ottiene un tipo di autenticazione (come la tua password), avrà ancora bisogno di un secondo o terzo fattore, che è più difficile da acquisire.

Ulteriori letture

Cita questa ricerca

Scegli il formato adatto a dove pubblicherai. Incollare la versione con link nel tuo CMS preserva il backlink.

Cem Dilmegani and Sena Sezer (2026) - "Confronta 10 Strumenti MFA Open Source". Pubblicato online su AIMultiple.com. Consultato il 3 Giugno 2026, da: https://aimultiple.com/open-source-mfa [Risorsa online]

Dilmegani, C., & Sezer, S. (2026, 3 Giugno). Confronta 10 Strumenti MFA Open Source. AIMultiple. https://aimultiple.com/open-source-mfa

@misc{dilmegani2026,
  author = {Dilmegani, Cem and Sezer, Sena},
  title  = {{Confronta 10 Strumenti MFA Open Source}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/open-source-mfa}},
  note   = {AIMultiple. Consultato il 3 Giugno 2026}
}
Cem Dilmegani
Cem Dilmegani
Analista principale
Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.
Visualizza il profilo completo
Ricercato da
Sena Sezer
Sena Sezer
Analista di settore
Sena è un'analista di settore presso AIMultiple. Ha conseguito la laurea triennale presso l'Università di Bogazici.
Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori. I commenti vengono lasciati nella loro lingua originale.

0/450