Confronta 10 strumenti MFA open source

Quando inizi a implementare la tua autenticazione a più fattori (MFA) gratuita e open source , considera quanto segue:

• Soluzioni MFA di livello enterprise : Keycloak, Authelia, Authentik, Zitadel e Kanidm offrono una gestione completa delle identità e degli accessi (IAM) con supporto per molteplici protocolli di autenticazione.
• Strumenti MFA leggeri : Hanko, LLDAP, FreeIPA, privacyIDEA e Rauthy sono più semplici da configurare e più adatti a installazioni di piccole dimensioni o self-hosted.

Caratteristiche delle soluzioni MFA open source

• Architettura multi-tenant: consente la presenza di più gruppi di utenti (tenant) indipendenti con dati e configurazioni isolati.
• Impersonificazione del token: consente la delega sicura del token o l'impersonificazione di un utente/applicazione per azioni autorizzate.
• Autenticazione biometrica: offre fattori biometrici come le impronte digitali.
• Google Titan Security Key : un dispositivo di autenticazione basato su hardware che fornisce autenticazione a due fattori (2FA) o accesso senza password a prova di phishing.

Tutti gli strumenti (ad eccezione di LDAP) supportano i token hardware (ad esempio, YubiKey) e il protocollo di autenticazione senza password FIDO2/WebAuthN. FIDO2 non utilizza segreti condivisi, come le password, riducendo al minimo le vulnerabilità associate alle violazioni dei dati.

Funzionalità aziendali

• OpenTelemetry: Standard open-source e insieme di tecnologie per l'acquisizione e l'esportazione di metriche, tracce e log.
• Sessioni personalizzate: consentono un controllo preciso sul comportamento delle sessioni, ad esempio:
  • Come e quando viene attivata l'autenticazione a più fattori (ad esempio, al momento dell'accesso, per azioni sensibili).
  • Il tipo di metodi di autenticazione a più fattori (MFA) supportati (ad es. TOTP, WebAuthn, SMS)
• Funzionalità self-service:
  • reimposta la password
  • Registrazione utente

Supporto per la gestione degli accessi privilegiati (PAM)

Gli strumenti con PAM consentono di gestire i diritti di accesso degli utenti privilegiati.

Capacità di auto-verifica

Le funzionalità di auto-verifica migliorano la tracciabilità dei log , un aspetto fondamentale per gli strumenti di autenticazione a più fattori (MFA). Consentono di monitorare attività non autorizzate o sospette, come l'attivazione/disattivazione dell'MFA, i tentativi di accesso non riusciti e l'utilizzo di codici OTP.

Soluzioni MFA di livello enterprise

Keycloak, Authelia, Authentik, Zitadel e Kanidm offrono ampie funzionalità di autenticazione a più fattori (MFA) . Questi strumenti MFA gratuiti offrono:

• Diversi metodi MFA: TOTP (password monouso basata sul tempo), WebAuthn, SMS, OIDC (OpenID Connect), e-mail, push, autenticazione biometrica, e autenticazione a più fattori basata sull'approvazione.
• Diversi protocolli di autenticazione : OAuth2, OIDC (OpenID Connect), SAML, LDAP e RADIUS.
• Maggiore personalizzazione: controllo degli accessi basato sui ruoli (RBAC) granulare e connessioni SSO social personalizzate (OIDC/OAuth2) tramite policy MFA.

Mantello della Chiave

Keycloak è una piattaforma IAM open-source che include SSO, gestione delle identità, accesso tramite social network e RBAC, e supporta SAML, OAuth2, OIDC e LDAP fin da subito.

• Keycloak supporta diversi backend di database, tra cui PostgreSQL, MySQL, MariaDB, Oracle e Microsoft SQL Server. ¹
• Automazione del flusso di lavoro amministrativo, JWT Authorization Grants, autenticazione tramite token dell'account di servizio Kubernetes per i client e supporto completo di OpenTelemetry per metriche e registrazione. ²

Keycloak è più complesso da installare e configurare rispetto ad Authelia o Authentik. L'interfaccia utente di amministrazione predefinita copre un'ampia area che può risultare difficile da navigare per i team focalizzati su un insieme ristretto di casi d'uso.

Authelia

Authelia è un server di autenticazione e autorizzazione open source che fornisce autenticazione a due fattori (2FA) e single sign-on (SSO) per applicazioni web tramite un reverse proxy. Anziché fungere da piattaforma di identità autonoma, funziona in sinergia con proxy come nginx, Traefik, Caddy e HAProxy, posizionandosi davanti alle applicazioni e gestendo le decisioni di autenticazione. La configurazione è gestita interamente tramite un file YAML, il che semplifica il controllo di versione e la verifica, ma richiede familiarità con lo schema di configurazione.

Architettura e impronta delle risorse

L'immagine del container ha una dimensione inferiore a 20 MB e in genere utilizza meno di 30 MB di RAM, risultando una delle opzioni più leggere in questo elenco. Authelia ha ottenuto la certificazione OpenID Connect 1.0 e può fungere da provider OIDC per le applicazioni a valle. ³

Aggiornamenti recenti

La versione 4.39 ha aggiunto l'accesso tramite password/passwordkeys via WebAuthn, il flusso del codice dispositivo per scenari di accesso su TV e schermo condiviso, i criteri di rete per le politiche di autorizzazione OIDC e il supporto per il riferimento al metodo di autenticazione RFC8176 per la comunicazione del livello di autenticazione a terze parti. ⁴

Caratteristiche principali

Autenticazione Web FIDO2 con chiavi hardware come YubiKey, TOTP con app di autenticazione compatibili, notifiche push per dispositivi mobili tramite Duo, accesso senza password tramite passkeys, controllo degli accessi basato su policy e supporto per Kubernetes tramite Helm chart.

Limitazioni

• Authelia non supporta il multi-tenancy, il PAM (Private Account Management) e non dispone di un'interfaccia utente integrata per la gestione degli utenti. Gli account utente vengono gestiti tramite un backend LDAP o un file YAML statico.
• I team che necessitano di un portale utente self-service o di una soluzione per la gestione dei dispositivi dovrebbero valutare Authentik o Kanidm.

Autentico

Authentik è una piattaforma IAM self-hosted che supporta SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM e autenticazione forward. Rispetto a Keycloak, richiede una configurazione iniziale inferiore, risultando ideale per i team senza esperienza specifica in infrastrutture di identità.

Aggiornamenti recenti

La versione 2025.12 ha aggiunto la gestione dei dispositivi endpoint per Windows, macOS e Linux tramite l'agente Authentik, l'interfaccia utente condizionale WebAuthn, una revisione completa del controllo degli accessi basato sui ruoli (RBAC) con gruppi multi-genitore e autorizzazioni ereditate dai ruoli, e la gestione centralizzata dei file con supporto S3. ⁵

La versione 2026.2 ha aggiunto un provider WS-Federation per SharePoint e applicazioni native di Windows, un connettore per la gestione dei segnali dei dispositivi endpoint e l'accesso condizionale, il supporto Linux PAM per l'accesso ai dispositivi locali e la generazione di certificati ED25519/ED448. ⁶

Sicurezza

Authentik mantiene un programma annuale di penetration testing e un processo formale di divulgazione delle CVE. Tre CVE sono state pubblicate a febbraio 2026, di cui una critica, corretta nelle versioni 2025.8.6, 2025.10.4 e 2025.12.4. I team che utilizzano istanze self-hosted dovrebbero mantenerle aggiornate. ⁷

Limitazioni

• A partire dalla versione 2025.10, Redis non è più necessario. Authentik funziona solo su PostgreSQL. ⁸
• PostgreSQL rimane una dipendenza rigida, il che comporta un sovraccarico operativo per le installazioni personali su singolo host.
• Authentik non offre supporto nativo per OpenTelemetry.

ZITADEL

ZITADEL è una piattaforma di infrastruttura di identità self-hosted basata sul multi-tenancy. Supporta OpenID Connect, OAuth2, SAML 2, LDAP, passkeys/FIDO2, OTP e SCIM 2.0.

Aggiornamenti recenti

ZITADEL ha completato la migrazione delle istanze delle risorse principali, delle organizzazioni, dei progetti, delle applicazioni e degli utenti a un'API basata sulle risorse v2. ⁹

• Login V2 è diventato disponibile a livello generale ed è diventato l'impostazione predefinita per i nuovi clienti nella versione 4. Actions V2 ha sostituito il sistema di estensione V1 integrato con webhook basati su eventi che vengono eseguiti al di fuori del processo principale, consentendo il supporto poliglotta e la scalabilità disaccoppiata. ¹⁰
• Il supporto per CockroachDB è stato rimosso; PostgreSQL è l'unico database supportato dalla versione 3 in poi. ¹¹

Limitazioni

L'amministrazione richiede familiarità con il modello multi-tenant di ZITADEL, il che aggiunge complessità alla configurazione per le implementazioni a singola organizzazione. La roadmap del 2026 indica che il team sta lavorando per semplificare questo modello e unificare la console di gestione. ¹²

Kanidm

Kanidm è una piattaforma di gestione delle identità self-hosted scritta in Rust.

• A differenza di LDAP, che fornisce solo servizi di directory, Kanidm include OAuth2 nativo, OIDC, RADIUS, gestione delle chiavi SSH e integrazione con Linux PAM senza richiedere componenti esterni.
• L'amministrazione si basa principalmente sull'interfaccia a riga di comando (CLI); l'interfaccia web consente agli utenti di gestire autonomamente i propri account e alcune attività, ma non permette di svolgere tutte le operazioni amministrative.

Aggiornamenti recenti

In questa versione l'interfaccia utente web è stata riscritta, con il supporto per i temi. Kanidm segue un ciclo di rilascio trimestrale. Gli aggiornamenti devono essere eseguiti in sequenza attraverso ogni versione minore. ¹³

Limitazioni

Il modello di amministrazione basato sulla riga di comando richiede familiarità con gli strumenti da riga di comando. I benchmark di Kanidm, condotti su 3.000 utenti e 1.500 gruppi, riportano una velocità di ricerca circa 3 volte superiore e una velocità di scrittura 5 volte superiore rispetto a FreeIPA, sebbene i risultati varino in base al carico di lavoro. ¹⁴

Strumenti MFA leggeri

Hanko, LDAP, FreeIPA, privacyIDEA e Rauthy coprono ambiti più ristretti rispetto a piattaforme IAM complete come Keycloak o Authentik. Il loro supporto ai protocolli, le opzioni di personalizzazione e la complessità di implementazione variano notevolmente, quindi l'etichetta "leggero" copre un'ampia gamma di esigenze.

Hanko

Hanko è un servizio di autenticazione open source incentrato sull'accesso senza password. Supporta passkey, TOTP, chiavi di sicurezza, OAuth SSO (Apple, Google, GitHub) e SSO SAML personalizzato. Include la gestione delle sessioni lato server e la revoca remota delle sessioni.

Non supporta connessioni social OIDC/OAuth2 personalizzate, impersonificazione utente, sessioni privilegiate/con privilegi elevati, notifiche di sicurezza via e-mail o metadati utente personalizzati. I team che necessitano di tali funzionalità hanno bisogno di una piattaforma più completa.

LLDAP

LLDAP è un server LDAP leggero. Offre un'interfaccia LDAP standard e un'interfaccia utente web per la gestione di base di utenti e gruppi, inclusa la reimpostazione della password tramite e-mail. Non fornisce protocolli di autenticazione come OAuth2 o OIDC, che richiedono un componente separato (Keycloak, Authelia, ecc.) da posizionare a monte.

Per impostazione predefinita, i dati degli utenti vengono memorizzati in SQLite. Sono supportati anche MySQL/MariaDB e PostgreSQL. LLDAP viene utilizzato principalmente in ambienti self-hosted in cui le applicazioni richiedono LDAP per la ricerca degli utenti, ma l'operatore desidera evitare il sovraccarico operativo di OpenLDAP.

IDEA sulla privacy

privacyIDEA è un sistema di gestione dell'autenticazione a più fattori (MFA), non un provider di identità completo. Gestisce centralmente i secondi fattori: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, token push, SMS, email e chiavi SSH, e li espone tramite un'API che viene utilizzata dai front-end di autenticazione (Keycloak, FreeIPA, Gluu, NGINX). Non gestisce direttamente i protocolli di autenticazione.

Aggiornamenti recenti

La versione 3.12 ha aggiunto i resolver utente per Entra ID e Keycloak, consentendo agli amministratori di estrarre i dati utente direttamente da tali directory e assegnare i token in privacyIDEA senza una fase di sincronizzazione separata. ¹⁵ Questa versione ha anche introdotto un'anteprima di un'interfaccia utente web riprogettata; la sostituzione completa dell'interfaccia utente è prevista per la versione 3.13. Il supporto per la chiave di accesso come tipo di token distinto è stato introdotto nella versione 3.11. ¹⁶

Limitazioni

• privacyIDEA non include nativamente Kerberos o altri protocolli di autenticazione.
• I flussi di lavoro automatizzati (iscrizione, rinnovo, onboarding, offboarding) sono configurabili ma richiedono l'integrazione di API che vanno oltre quanto previsto dalla configurazione TOTP predefinita di Keycloak.

FreeIPA

FreeIPA è un sistema di gestione delle identità per ambienti Linux e UNIX. Integra una directory LDAP (389-ds), un KDC Kerberos, un server DNS, un'autorità di certificazione e librerie Samba per l'integrazione con Active Directory in un'unica unità distribuibile con interfaccia utente web e riga di comando.

Supporta i token TOTP e OTP, nonché l'autenticazione FIDO2/passkey. FreeIPA è progettato per ambienti che richiedono l'autenticazione centralizzata degli host Linux, l'emissione di ticket Kerberos, la gestione delle policy sudo e i servizi di directory utente.

Limitazioni

• L'architettura a pacchetto implica che l'implementazione di FreeIPA comporti la configurazione di più sottosistemi.
• Gli aggiornamenti e gli upgrade comportano maggiori rischi rispetto agli strumenti a componente singolo, poiché le modifiche a qualsiasi servizio incluso in un pacchetto possono influire sugli altri.
• Non è una scelta pratica per ambienti che non utilizzano l'autenticazione basata su host Linux/UNIX.

Rauthy

Rauthy è un provider OpenID Connect e una soluzione di single sign-on. Supporta WebAuthn/FIDO2/passkeys, TOTP e l'accesso tramite social network attraverso provider di identità esterni (GitHub, Google, Microsoft e altri configurati come upstream OIDC generici). È progettato per un basso consumo di risorse e viene distribuito come singolo binario o immagine container.

Dalla versione 0.27, Rauthy include un modulo rauthy-pam-nss che abilita l'integrazione tra Linux PAM e NSS, supportando l'accesso alle workstation locali tramite chiavi di accesso YubiKey e l'accesso SSH protetto da autenticazione a più fattori (MFA) tramite password effimere. ¹⁷

Limitazioni

Rauthy non include il supporto RADIUS né un server LDAP integrato. Funziona come un provider OIDC a cui altre applicazioni si autenticano; non sostituisce una directory utenti completa.

FAQ

Per approfondire

• Le 10 migliori soluzioni di autenticazione a più fattori (MFA)
• I 10 migliori strumenti RBAC open source in base alle stelle su GitHub

Collegamenti di riferimento

1.

FIPS 140-2 support - Keycloak

2.

Keycloak 26.5.0 released - Keycloak

Keycloak

3.

Authelia | Free Open-Source Software Modern IAM Solution

4.

Release v4.39.0 · authelia/authelia · GitHub

5.

authentik version 2025.12 is here! | authentik

6.

Release 2026.2 | authentik

7.

CVE-2026-25227 | authentik

8.

Release 2025.10 | authentik

9.

Zitadel Version 4 Release Candidate now available! · zitadel/zitadel · Discussion #10201 · GitHub

10.

ZITADEL Changelog | ZITADEL

11.

Release Cycle | ZITADEL Docs

12.

ZITADEL - Identity Infrastructure, Simplified

13.

Server Updates - Kanidm Administration

14.

GitHub - kanidm/kanidm: Kanidm: A simple, secure, and fast identity management platform · GitHub

15.

https://www.privacyidea.org/privacyidea-3-12-is-available/

16.

https://www.privacyidea.org/privacyidea-3-11-is-available/

17.

Introduction - Rauthy Documentation

Cem Dilmegani

Analista principale

Segui

Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.

Visualizza il profilo completo

Ricercato da

Sena Sezer

Analista di settore

Segui

Sena è un'analista di settore presso AIMultiple. Ha conseguito la laurea triennale presso l'Università di Bogazici.

Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.

Nome

Indirizzo e-mail

Commento

0/450

Pubblica un commento