Serviços
Contate-nos

Compare 10 Ferramentas de MFA de Código Aberto

Cem Dilmegani
Cem Dilmegani
atualizado em 3 jun. 2026
Loading Chart

Quando iniciar sua implementação de autenticação de múltiplos fatores (MFA) gratuita e de código aberto, considere:

  • Soluções de MFA de nível empresarial: Keycloak, Authelia, Authentik, Zitadel e Kanidm fornecem gerenciamento completo de identidade e acesso (IAM) com suporte para múltiplos protocolos de autenticação.
  • Ferramentas leves de MFA: Hanko, LLDAP, FreeIPA, privacyIDEA e Rauthy são mais simples de configurar e mais adequados para configurações menores ou auto-hospedadas.

Recursos de soluções de MFA de código aberto

  • Arquitetura multi-inquilino: Permite múltiplos grupos de usuários independentes (inquilinos) com dados e configurações isolados.
  • Impersonação de token: Permite delegação segura de token ou impersonação de um usuário/aplicação para ações autorizadas.
  • Autenticação biométrica: Oferece fatores biométricos como impressões digitais.
  • Google Chave de Segurança Titan: Um dispositivo de autenticação baseado em hardware que fornece 2FA resistente a phishing ou login sem senha.

Todas as ferramentas (exceto LDAP) suportam tokens de hardware (por exemplo, YubiKey) e o protocolo de autenticação sem senha FIDO2 / WebAuthN. O FIDO2 não usa segredos compartilhados, como senhas; ele minimiza as vulnerabilidades associadas a violações de dados.

Recursos empresariais

  • OpenTelemetry: Padrão de código aberto e um conjunto de tecnologias para captura e exportação de métricas, rastreamentos e logs.
  • Sessões personalizadas: Permite controle granular sobre comportamentos de sessão, como:
    • Como e quando o MFA é acionado (por exemplo, no login, para ações sensíveis).
    • O tipo de métodos de MFA suportados (por exemplo, TOTP, WebAuthn, SMS)
  • Recursos de autoatendimento:
    • Redefinição de senha
    • Cadastro de usuário

Suporte a gerenciamento de acesso privilegiado (PAM)

Ferramentas com PAM permitem que você gerencie os direitos de acesso de usuários privilegiados.

Capacidades de autoauditoria

As capacidades de autoauditoria aprimoram a rastreabilidade do log, que é crítica para ferramentas de MFA (autenticação de múltiplos fatores). Elas ajudam a rastrear atividades não autorizadas ou suspeitas, como habilitar/desabilitar MFA, tentativas de login falhas e uso de OTP.

Soluções de MFA de nível empresarial

Keycloak, Authelia, Authentik, Zitadel e Kanidm oferecem extensas capacidades de MFA. Essas ferramentas MFA gratuitas oferecem:

  • Vários métodos de MFA: TOTP (senha única baseada em tempo), WebAuthn, SMS, OIDC (OpenID Connect), Email, Push, autenticação biométrica, e MFA baseada em aprovação.
  • Vários protocolos de autenticação: OAuth2, OIDC (OpenID Connect), SAML, LDAP e RADIUS.
  • Personalização superior: RBAC granular e conexões sociais personalizadas de SSO (OIDC/OAuth2) sobre políticas de MFA.

Keycloak

Keycloak é uma plataforma IAM de código aberto que cobre SSO, intermediação de identidade, login social e RBAC, e suporta SAML, OAuth2, OIDC e LDAP prontamente.

  • Keycloak suporta vários backends de banco de dados, incluindo PostgreSQL, MySQL, MariaDB, Oracle e Microsoft SQL Server.1
  • Automação de fluxo de trabalho administrativo, JWT Authorization Grants, autenticação de token de conta de serviço do Kubernetes para clientes e suporte completo ao OpenTelemetry para métricas e logs. 2

Keycloak é mais complexo de instalar e configurar do que Authelia ou Authentik. A UI de administrador padrão cobre uma ampla área que pode ser difícil de navegar para equipes focadas em um conjunto restrito de casos de uso.

Authelia

Authelia é um servidor de autenticação e autorização de código aberto que fornece 2FA e SSO para aplicativos web via um proxy reverso. Em vez de atuar como uma plataforma de identidade independente, ele funciona como um companheiro para proxies como nginx, Traefik, Caddy e HAProxy, ficando na frente de aplicativos e lidando com decisões de autenticação. A configuração é gerenciada inteiramente por um arquivo YAML, o que torna simples controlar versões e auditar, mas requer familiaridade com o esquema de configuração.

Arquitetura e pegada de recursos

A imagem do container tem menos de 20 MB e geralmente usa menos de 30 MB de RAM, tornando-a uma das opções mais leves desta lista. Authelia alcançou a certificação OpenID Connect 1.0 e pode atuar como um provedor OIDC para aplicativos a jusante.3

Atualizações recentes

A versão 4.39 adicionou chaves de acesso/login sem senha via WebAuthn, Fluxo de Código do Dispositivo para cenários de assinatura em TV e tela compartilhada, critérios de rede para políticas de autorização OIDC e suporte a Referência de Método de Autenticação RFC8176 para comunicar o nível de autenticação a terceiros.4

Recursos principais

FIDO2 WebAuthn com chaves de hardware como YubiKey, TOTP com aplicativos autenticadores compatíveis, notificações push móveis via Duo, login sem senha via chaves de acesso, controle de acesso baseado em políticas e suporte ao Kubernetes via chart Helm.

Limitações

  • Authelia não possui multi-inquilinato, suporte PAM ou UI de gerenciamento de usuários integrada; as contas de usuário são gerenciadas via backend LDAP ou um arquivo YAML estático.
  • Equipes que precisam de um portal de autoatendimento para usuários ou gerenciamento de dispositivos devem avaliar Authentik ou Kanidm em vez disso.

Authentik

Authentik é uma plataforma IAM auto-hospedada que cobre SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM e autenticação direta. Em comparação com Keycloak, requer menos configuração inicial para equipes sem experiência dedicada em infraestrutura de identidade.

Atualizações recentes

A versão 2025.12 adicionou gerenciamento de dispositivos de endpoint para Windows, macOS e Linux via Agente Authentik, UI Condicional WebAuthn, uma revisão completa do RBAC com grupos de múltiplos pais e permissões herdadas de função, e gerenciamento centralizado de arquivos com suporte a S3.5

A versão 2026.2 adicionou um provedor WS-Federation para SharePoint e aplicativos nativos do Windows, um conector de frota para sinais de dispositivos de endpoint e acesso condicional, suporte a PAM do Linux para login local de dispositivo e geração de certificados ED25519/ED448.6

Segurança

Authentik mantém um programa anual de teste de penetração e um processo formal de divulgação de CVE. Três CVEs foram publicados em fevereiro de 2026, incluindo um crítico, corrigido nas versões 2025.8.6, 2025.10.4 e 2025.12.4. Equipes executando instâncias auto-hospedadas devem manter atualizações.7

Limitações

  • A partir da versão 2025.10, o Redis não é mais necessário; o Authentik roda apenas no PostgreSQL.8
  • O PostgreSQL permanece uma dependência obrigatória, o que adiciona sobrecarga operacional para implantações pessoais de host único.
  • Authentik também não possui suporte nativo ao OpenTelemetry.

ZITADEL

ZITADEL é uma plataforma de infraestrutura de identidade auto-hospedada construída em torno de multi-inquilinato. Suporta OpenID Connect, OAuth2, SAML 2, LDAP, chaves de acesso/FIDO2, OTP e SCIM 2.0.

Atualizações recentes

ZITADEL completou a migração de recursos principais (instâncias, organizações, projetos, aplicativos e usuários) para uma API v2 baseada em recursos.9

  • Login V2 atingiu a disponibilidade geral e tornou-se o padrão para novos clientes na v4. Actions V2 substituiu o sistema de extensão incorporado V1 por webhooks orientados a eventos que rodam fora do processo principal, permitindo suporte poliglota e escalabilidade desacoplada.10
  • O suporte ao CockroachDB foi removido; o PostgreSQL é o único banco de dados suportado a partir da versão 3. 11

Limitações

A administração requer familiaridade com o modelo de inquilino de várias camadas do ZITADEL, o que adiciona complexidade de configuração para implantações de organização única. O roteiro de 2026 indica que a equipe está trabalhando para simplificar esse modelo e unificar o console de gerenciamento.12

Kanidm

Kanidm é uma plataforma de gerenciamento de identidade auto-hospedada escrita em Rust.

  • Diferente do LDAP, que fornece apenas serviços de diretório, Kanidm inclui OAuth2 nativo, OIDC, RADIUS, gerenciamento de chave SSH e integração PAM do Linux sem exigir componentes externos.
  • A administração é principalmente baseada em CLI; a UI web cobre autoatendimento do usuário e algumas tarefas de gerenciamento de conta, mas não tarefas administrativas completas.

Atualizações recentes

A UI web foi reescrita nesta versão, com suporte a temas. Kanidm segue um cronograma de lançamento trimestral. As atualizações devem ser realizadas sequencialmente através de cada versão menor.13

Limitações

O modelo de administração focado em CLI exige conforto com ferramentas de linha de comando. Os próprios Kanidm benchmarks com 3.000 usuários e 1.500 grupos relatam aproximadamente 3x mais rápido na busca e 5x mais rápido em operações de escrita em comparação com FreeIPA, embora os resultados variem conforme a carga de trabalho.14

Ferramentas leves de MFA

Hanko, LDAP, FreeIPA, privacyIDEA e Rauthy cobrem escopos mais estreitos do que plataformas IAM completas como Keycloak ou Authentik. Seu suporte a protocolos, opções de personalização e complexidade de implantação variam significativamente, então o rótulo de categoria "leve" cobre uma ampla gama.

Não perca os nossos benchmarks e insights baseados em dados. O botão abre o Google; selecionar a AIMultiple confirma que deseja ver a AIMultiple com mais frequência nos resultados de pesquisa do Google.
GoogleAdicionar como fonte preferencial

Hanko

Hanko é um serviço de autenticação de código aberto focado em login sem senha. Suporta chaves de acesso, TOTP, chaves de segurança, OAuth SSO (Apple, Google, GitHub) e SAML SSO personalizado. Inclui gerenciamento de sessão no lado do servidor e revogação remota de sessão.

Não suporta conexões sociais personalizadas OIDC/OAuth2, impersonação de usuário, sessões privilegiadas/de aumento de passo, notificações de segurança por email ou metadados de usuário personalizados. Equipes que exigem essas capacidades precisam de uma plataforma mais completa.

LLDAP

LLDAP é um servidor LDAP leve. Expõe uma interface LDAP padrão e uma UI web para gerenciamento básico de usuário e grupo, incluindo redefinição de senha por email. Não fornece protocolos de autenticação como OAuth2 ou OIDC, que exigem um componente separado (Keycloak, Authelia, etc.) colocado na frente dele.

Por padrão, os dados do usuário são armazenados em SQLite. MySQL/MariaDB e PostgreSQL também são suportados. LLDAP é usado principalmente em ambientes auto-hospedados onde aplicativos exigem LDAP para consultas de usuário, mas o operador deseja evitar a sobrecarga operacional do OpenLDAP.

privacyIDEA

privacyIDEA é um sistema de gerenciamento de MFA, não um provedor de identidade completo. Gerencia segundos fatores centralmente: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, tokens push, SMS, email e chaves SSH e expõe isso via uma API que front-ends de autenticação (Keycloak, FreeIPA, Gluu, NGINX) consomem. Não lida com protocolos de autenticação em si.

Atualizações recentes

A versão 3.12 adicionou resolvedores de usuário para Entra ID e Keycloak, permitindo que administradores puxem dados de usuário diretamente desses diretórios e atribuam tokens no privacyIDEA sem uma etapa de sincronização separada.15 Esta versão também introduziu uma prévia de uma UI web redesenhada; a substituição completa da UI está planejada para a versão 3.13. O suporte a chaves de acesso como um tipo de token distinto foi introduzido na versão 3.11.16

Limitações

  • privacyIDEA não inclui Kerberos ou outros protocolos de autenticação nativamente.
  • Fluxos de trabalho de automação (cadastro, rotação, integração, desligamento) são configuráveis, mas exigem integração API além do que uma configuração TOTP pronta para uso no Keycloak exige.

FreeIPA

FreeIPA é um sistema de gerenciamento de identidade para ambientes Linux e UNIX. Agrupa um diretório LDAP (389-ds), um KDC Kerberos, um servidor DNS, uma autoridade certificadora e bibliotecas Samba para integração com Active Directory em uma única unidade implantável com UI web e CLI.

Suporta tokens TOTP e OTP, bem como autenticação FIDO2/chave de acesso. FreeIPA é projetado para ambientes que exigem autenticação centralizada de host Linux, emissão de ticket Kerberos, gerenciamento de política sudo e serviços de diretório de usuário.

Limitações

  • A arquitetura agrupada significa que implantar FreeIPA envolve configurar vários subsistemas.
  • Atualizações e upgrades carregam mais risco do que ferramentas de componente único porque alterações em qualquer serviço agrupado podem afetar os outros.
  • Não é uma escolha prática para ambientes que não usam autenticação baseada em host Linux/UNIX.

Rauthy

Rauthy é um provedor OpenID Connect e solução de single sign-on. Suporta WebAuthn/FIDO2/chaves de acesso, TOTP e login social via provedores de identidade externos (GitHub, Google, Microsoft e outros configurados como upstreams genéricos OIDC). É projetado para baixo consumo de recursos e vem como um único binário ou imagem de container.

A partir da versão 0.27, Rauthy inclui um módulo rauthy-pam-nss que habilita integração Linux PAM e NSS, suportando logins locais de estação de trabalho via chaves de acesso YubiKey e SSH seguro por MFA via senhas efêmeras.17

Limitações

Rauthy não inclui suporte RADIUS ou um servidor LDAP integrado. Funciona como um provedor OIDC contra o qual outros aplicativos se autenticam; não substitui um diretório de usuário completo.

Perguntas frequentes

A autenticação de múltiplos fatores (MFA) exige que o usuário forneça dois ou mais fatores de verificação para acessar um recurso como um aplicativo, conta online ou VPN. É essencial ter uma política eficaz de gerenciamento de identidade e acesso (IAM). Em vez de solicitar apenas um nome de usuário e senha, o MFA exige um ou mais fatores de verificação, reduzindo a probabilidade de um ataque cibernético bem-sucedido.

O MFA funciona solicitando dados de verificação adicionais (fatores). Senhas de uso único são um dos fatores de MFA mais comuns que os usuários encontram.
OTPs são esses códigos de 4-8 dígitos que você recebe frequentemente por email, SMS ou aplicativo móvel. OTPs geram um novo código regularmente ou sempre que uma solicitação de autenticação é submetida. O código é gerado usando um valor de semente atribuído ao usuário quando ele se registra pela primeira vez, bem como outro fator, que pode ser qualquer coisa, de um contador incrementado a um valor de tempo.

Considere sua senha como semelhante a uma fechadura de porta da frente. Se alguém descobrir sua senha, é como se eles tivessem encontrado a chave da fechadura. Sem MFA, eles podem entrar direto.

No entanto, o MFA pede aos usuários verificação extra, como inserir um código enviado para o telefone ou digitalizar a impressão digital.

Essa etapa extra torna muito mais difícil para os invasores entrarem. Mesmo que um terceiro obtenha um tipo de autenticação (como sua senha), eles ainda precisarão de um segundo ou terceiro fator, o que é mais difícil de adquirir.

Leitura adicional

Cite esta pesquisa

Escolha o formato adequado ao local onde você vai publicar. Colar a versão com link no seu CMS preserva o backlink.

Cem Dilmegani and Sena Sezer (2026) - "Compare 10 Ferramentas de MFA de Código Aberto". Publicado on-line em AIMultiple.com. Acessado em 3 Junho 2026, em: https://aimultiple.com/open-source-mfa [Recurso on-line]

Dilmegani, C., & Sezer, S. (2026, 3 Junho). Compare 10 Ferramentas de MFA de Código Aberto. AIMultiple. https://aimultiple.com/open-source-mfa

@misc{dilmegani2026,
  author = {Dilmegani, Cem and Sezer, Sena},
  title  = {{Compare 10 Ferramentas de MFA de Código Aberto}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/open-source-mfa}},
  note   = {AIMultiple. Acessado em 3 Junho 2026}
}
Cem Dilmegani
Cem Dilmegani
Analista Principal
Cem é o analista principal da AIMultiple desde 2017. A AIMultiple fornece informações para centenas de milhares de empresas (segundo o SimilarWeb), incluindo 55% das empresas da Fortune 500, todos os meses. O trabalho de Cem foi citado por importantes publicações globais, como Business Insider, Forbes e Washington Post, além de empresas globais como Deloitte e HPE, ONGs como o Fórum Econômico Mundial e organizações supranacionais como a Comissão Europeia. Você pode ver mais empresas e recursos renomados que mencionaram a AIMultiple. Ao longo de sua carreira, Cem atuou como consultor de tecnologia, comprador de tecnologia e empreendedor na área. Ele assessorou empresas em suas decisões tecnológicas na McKinsey & Company e na Altman Solon por mais de uma década. Também publicou um relatório da McKinsey sobre digitalização. Liderou a estratégia de tecnologia e a área de compras de uma empresa de telecomunicações, reportando-se diretamente ao CEO. Além disso, liderou o crescimento comercial da empresa de tecnologia avançada Hypatos, que atingiu uma receita recorrente anual de sete dígitos e uma avaliação de nove dígitos, partindo de zero, em apenas dois anos. O trabalho de Cem no Hypatos foi noticiado por importantes publicações de tecnologia, como TechCrunch e Business Insider. Cem participa regularmente como palestrante em conferências internacionais de tecnologia. Ele se formou em engenharia da computação pela Universidade Bogazici e possui um MBA pela Columbia Business School.
Ver perfil completo
Pesquisado por
Sena Sezer
Sena Sezer
Analista do setor
Sena é analista do setor na AIMultiple. Ela concluiu sua graduação na Universidade Bogazici.
Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios. Os comentários são deixados em seu idioma original.

0/450