Compare 10 ferramentas de MFA de código aberto
Ao iniciar a implementação da sua autenticação multifator (MFA) gratuita e de código aberto , considere:
- Soluções MFA de nível empresarial : Keycloak, Authelia, Authentik, Zitadel e Kanidm oferecem gerenciamento completo de identidade e acesso (IAM) com suporte para múltiplos protocolos de autenticação.
- Ferramentas de MFA leves : Hanko, LLDAP, FreeIPA, privacyIDEA e Rauthy são mais fáceis de configurar e mais adequadas para ambientes menores ou auto-hospedados.
Características das soluções MFA de código aberto
- Arquitetura multi-inquilino: Permite múltiplos grupos de usuários independentes (inquilinos) com dados e configurações isolados.
- Representação de token: Permite a delegação segura de um token ou a representação de um usuário/aplicativo para ações autorizadas.
- Autenticação biométrica: Oferece fatores biométricos como impressões digitais.
- Google Titan Security Key : Um dispositivo de autenticação baseado em hardware que oferece autenticação de dois fatores (2FA) resistente a phishing ou login sem senha.
Todas as ferramentas (exceto LDAP) suportam tokens de hardware (por exemplo, YubiKey) e o protocolo de autenticação sem senha FIDO2/WebAuthN. O FIDO2 não utiliza segredos compartilhados, como senhas; isso minimiza as vulnerabilidades associadas a violações de dados.
Funcionalidades empresariais
- OpenTelemetry: Padrão de código aberto e um conjunto de tecnologias para capturar e exportar métricas, rastreamentos e registros.
- Sessões personalizadas: Permitem um controle preciso sobre os comportamentos da sessão, como:
- Como e quando a autenticação multifator (MFA) é acionada (por exemplo, no login, para ações sensíveis).
- Os tipos de métodos de MFA suportados (por exemplo, TOTP, WebAuthn, SMS)
- Funcionalidades de autoatendimento:
- Redefinição de senha
- Cadastro de usuário
Suporte para gerenciamento de acesso privilegiado (PAM)
Ferramentas com PAM permitem gerenciar os direitos de acesso de usuários privilegiados.
Capacidades de autoauditoria
Os recursos de autoauditoria aprimoram a rastreabilidade de registros , o que é fundamental para ferramentas de MFA (autenticação multifator). Eles ajudam a rastrear atividades não autorizadas ou suspeitas, como ativação/desativação de MFA, tentativas de login malsucedidas e uso de OTP (senha de uso único).
Soluções MFA de nível empresarial
Keycloak, Authelia, Authentik, Zitadel e Kanidm oferecem amplas funcionalidades de MFA (autenticação multifator) . Essas ferramentas gratuitas de MFA oferecem:
- Diversos métodos de MFA: TOTP (senha de uso único baseada em tempo), WebAuthn, SMS, OIDC (OpenID Connect), e-mail, notificações push e autenticação biométrica. e MFA baseada em aprovação.
- Diversos protocolos de autenticação : OAuth2, OIDC (OpenID Connect), SAML, LDAP e RADIUS.
- Maior nível de personalização: RBAC granular e conexões SSO sociais personalizadas (OIDC/OAuth2) sobre políticas de MFA.
Keycloak
O Keycloak é uma plataforma IAM de código aberto que abrange SSO, intermediação de identidade, login social e RBAC, e oferece suporte nativo a SAML, OAuth2, OIDC e LDAP.
- O Keycloak suporta vários backends de banco de dados, incluindo PostgreSQL, MySQL, MariaDB, SQL Server e SQL Server. 1
- A automação do fluxo de trabalho administrativo, as concessões de autorização JWT, a autenticação de token de conta de serviço Kubernetes para clientes e o suporte completo ao OpenTelemetry para métricas e registro de logs. 2
O Keycloak é mais complexo de instalar e configurar do que o Authelia ou o Authentik. A interface administrativa padrão abrange uma área extensa que pode ser difícil de navegar para equipes focadas em um conjunto restrito de casos de uso.
Authelia
O Authelia é um servidor de autenticação e autorização de código aberto que fornece autenticação de dois fatores (2FA) e logon único (SSO) para aplicações web através de um proxy reverso. Em vez de atuar como uma plataforma de identidade independente, ele funciona como um complemento para proxies como nginx, Traefik, Caddy e HAProxy, posicionando-se à frente das aplicações e gerenciando as decisões de autenticação. A configuração é gerenciada inteiramente por meio de um arquivo YAML, o que facilita o controle de versão e a auditoria, mas requer familiaridade com o esquema de configuração.
Arquitetura e pegada de recursos
A imagem do contêiner tem menos de 20 MB e normalmente usa menos de 30 MB de RAM, tornando-a uma das opções mais leves desta lista. A Authelia obteve a certificação OpenID Connect 1.0 e pode atuar como um provedor OIDC para aplicações subsequentes. 3
Atualizações recentes
A versão 4.39 adicionou login com ou sem senha via WebAuthn, fluxo de código de dispositivo para cenários de login em TV e tela compartilhada, critérios de rede para políticas de autorização OIDC e suporte à referência de método de autenticação RFC8176 para comunicar o nível de autenticação a terceiros. 4
Principais características
Autenticação Web FIDO2 com chaves de hardware como YubiKey, TOTP com aplicativos autenticadores compatíveis, notificações push para dispositivos móveis via Duo, login sem senha via chaves de acesso, controle de acesso baseado em políticas e suporte ao Kubernetes via Helm chart.
Limitações
- O Authelia não possui suporte a multi-tenancy, PAM ou interface de usuário integrada para gerenciamento de usuários; as contas de usuário são gerenciadas via LDAP ou por meio de um arquivo YAML estático.
- Equipes que precisam de um portal de autoatendimento para usuários ou gerenciamento de dispositivos devem avaliar o Authentik ou o Kanidm.
Authentik
O Authentik é uma plataforma IAM autohospedada que abrange SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM e autenticação direta. Comparado ao Keycloak, requer menos configuração inicial para equipes sem experiência dedicada em infraestrutura de identidade.
Atualizações recentes
A versão 2025.12 adicionou gerenciamento de dispositivos de endpoint para Windows, macOS e Linux por meio do Authentik Agent, interface de usuário condicional WebAuthn, uma reformulação completa do RBAC com grupos multi-pai e permissões herdadas por função, além de gerenciamento centralizado de arquivos com suporte a S3. 5
A versão 2026.2 adicionou um provedor WS-Federation para SharePoint e aplicativos nativos do Windows, um conector de frota para sinais de dispositivos de endpoint e acesso condicional, suporte a PAM do Linux para login em dispositivos locais e geração de certificados ED25519/ED448. 6
Segurança
A Authentik mantém um programa anual de testes de penetração e um processo formal de divulgação de CVEs. Três CVEs foram publicadas em fevereiro de 2026, incluindo uma crítica, corrigida nas versões 2025.8.6, 2025.10.4 e 2025.12.4. As equipes que executam instâncias autohospedadas devem manter as atualizações em dia. 7
Limitações
- A partir da versão 2025.10, o Redis deixou de ser necessário. O Authentik funciona apenas com PostgreSQL. 8
- O PostgreSQL continua sendo uma dependência obrigatória, o que adiciona sobrecarga operacional para implantações pessoais em um único host.
- O Authentik também não possui suporte nativo para OpenTelemetry.
CIDADE
ZITADEL é uma plataforma de infraestrutura de identidade auto-hospedada, construída em torno de multi-tenancy. Ela oferece suporte a OpenID Connect, OAuth2, SAML 2, LDAP, chaves de acesso/FIDO2, OTP e SCIM 2.0.
Atualizações recentes
A ZITADEL concluiu a migração de instâncias de recursos principais, organizações, projetos, aplicativos e usuários para uma API baseada em recursos v2. 9
- O Login V2 alcançou disponibilidade geral e tornou-se o padrão para novos clientes na versão 4. O Actions V2 substituiu o sistema de extensão V1 integrado por webhooks orientados a eventos que são executados fora do processo principal, permitindo suporte a múltiplas linguagens e escalabilidade desacoplada. 10
- O suporte ao CockroachDB foi removido; o PostgreSQL é o único banco de dados suportado a partir da versão 3. 11
Limitações
A administração exige familiaridade com o modelo de locatário multicamadas do ZITADEL, o que aumenta a complexidade de configuração para implantações em uma única organização. O roteiro para 2026 indica que a equipe está trabalhando para simplificar esse modelo e unificar o console de gerenciamento. 12
Kanidm
Kanidm é uma plataforma de gerenciamento de identidade auto-hospedada escrita em Rust.
- Diferentemente do LDAP, que fornece apenas serviços de diretório, o Kanidm inclui OAuth2 nativo, OIDC, RADIUS, gerenciamento de chaves SSH e integração com Linux PAM sem exigir componentes externos.
- A administração é feita principalmente por meio da linha de comando (CLI); a interface web abrange o autoatendimento do usuário e alguns recursos de gerenciamento de contas, mas não todas as tarefas administrativas.
Atualizações recentes
A interface web foi reescrita nesta versão, com suporte a temas. O Kanidm segue um cronograma de lançamentos trimestrais. As atualizações devem ser realizadas sequencialmente, uma a uma, em cada versão secundária. 13
Limitações
O modelo de administração com foco na linha de comando exige familiaridade com ferramentas de linha de comando. Os próprios testes de desempenho do Kanidm, com 3.000 usuários e 1.500 grupos, relatam operações de busca aproximadamente 3 vezes mais rápidas e operações de gravação 5 vezes mais rápidas em comparação com o FreeIPA, embora os resultados variem de acordo com a carga de trabalho. 14
Ferramentas MFA leves
Hanko, LDAP, FreeIPA, privacyIDEA e Rauthy abrangem escopos mais restritos do que plataformas IAM completas como Keycloak ou Authentik. O suporte a protocolos, as opções de personalização e a complexidade de implantação variam significativamente, portanto, a categoria "leve" engloba uma ampla gama de soluções.
Hanko
Hanko é um serviço de autenticação de código aberto focado em login sem senha. Ele suporta chaves de acesso, TOTP, chaves de segurança, SSO OAuth (Apple, GitHub) e SSO SAML personalizado. Inclui gerenciamento de sessão no servidor e revogação remota de sessão.
Não oferece suporte a conexões sociais OIDC/OAuth2 personalizadas, representação de usuário, sessões privilegiadas/com privilégios adicionais, notificações de segurança por e-mail ou metadados de usuário personalizados. Equipes que necessitam desses recursos precisam de uma plataforma mais completa.
LLDAP
O LLDAP é um servidor LDAP leve. Ele expõe uma interface LDAP padrão e uma interface web para gerenciamento básico de usuários e grupos, incluindo redefinição de senhas por e-mail. Ele não oferece protocolos de autenticação como OAuth2 ou OIDC, que exigem um componente separado (Keycloak, Authelia, etc.) instalado à sua frente.
Por padrão, os dados do usuário são armazenados em SQLite. MySQL/MariaDB e PostgreSQL também são suportados. O LLDAP é usado principalmente em ambientes auto-hospedados onde os aplicativos exigem LDAP para consultas de usuários, mas o operador deseja evitar a sobrecarga operacional do OpenLDAP.
IDEIA de privacidade
O privacyIDEA é um sistema de gerenciamento de MFA, não um provedor de identidade completo. Ele gerencia centralmente os segundos fatores: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, tokens push, SMS, e-mail e chaves SSH, e os expõe por meio de uma API que é consumida por front-ends de autenticação (Keycloak, FreeIPA, Gluu, NGINX). Ele não lida com protocolos de autenticação diretamente.
Atualizações recentes
A versão 3.12 adicionou resolvedores de usuário para Entra ID e Keycloak, permitindo que os administradores extraiam dados do usuário diretamente desses diretórios e atribuam tokens no privacyIDEA sem uma etapa de sincronização separada. 15 Esta versão também introduziu uma prévia de uma interface web redesenhada; a substituição completa da interface está planejada para a versão 3.13. O suporte a chaves de acesso como um tipo de token distinto foi introduzido na versão 3.11. 16
Limitações
- O privacyIDEA não inclui Kerberos ou outros protocolos de autenticação nativamente.
- Os fluxos de trabalho de automação (matrícula, renovação, integração, desligamento) são configuráveis, mas exigem integração de API que vai além do que uma configuração TOTP padrão no Keycloak permite.
FreeIPA
O FreeIPA é um sistema de gerenciamento de identidade para ambientes Linux e UNIX. Ele reúne um diretório LDAP (389-ds), um KDC Kerberos, um servidor DNS, uma autoridade de certificação e bibliotecas Samba para integração com o Active Directory em uma única unidade implantável com interface web e linha de comando.
Ele suporta tokens TOTP e OTP, bem como autenticação FIDO2/chave de senha. O FreeIPA foi projetado para ambientes que exigem autenticação centralizada de hosts Linux, emissão de tickets Kerberos, gerenciamento de políticas sudo e serviços de diretório de usuários.
Limitações
- A arquitetura agrupada significa que a implantação do FreeIPA envolve a configuração de vários subsistemas.
- Atualizações e upgrades apresentam mais riscos do que ferramentas de componente único, pois alterações em qualquer serviço agrupado podem afetar os demais.
- Não é uma opção prática para ambientes que não utilizam autenticação baseada em host Linux/UNIX.
Rauthy
Rauthy é um provedor OpenID Connect e uma solução de autenticação única (SSO). Ele suporta WebAuthn/FIDO2/chaves de acesso, TOTP e login social por meio de provedores de identidade externos (GitHub, Google, Microsoft e outros configurados como upstreams OIDC genéricos). Foi projetado para baixo consumo de recursos e é distribuído como um único binário ou imagem de contêiner.
A partir da versão 0.27, o Rauthy inclui um módulo rauthy-pam-nss que permite a integração com Linux PAM e NSS, suportando logins em estações de trabalho locais via chaves YubiKey e SSH protegido por MFA via senhas efêmeras. 17
Limitações
O Rauthy não inclui suporte a RADIUS nem um servidor LDAP integrado. Ele funciona como um provedor OIDC que outros aplicativos utilizam para autenticação; ele não substitui um diretório de usuários completo.
Perguntas frequentes
A autenticação multifator (MFA) exige que o usuário forneça dois ou mais fatores de verificação para acessar um recurso, como um aplicativo, uma conta online ou uma VPN. É essencial ter uma política eficaz de gerenciamento de identidade e acesso (IAM). Em vez de simplesmente solicitar um nome de usuário e senha, a MFA exige um ou mais fatores de verificação, reduzindo a probabilidade de um ataque cibernético bem-sucedido.
A autenticação multifator (MFA) funciona solicitando dados de verificação adicionais (fatores). Senhas de uso único são um dos fatores de MFA mais comuns que os usuários encontram.
Os códigos OTP (One-Time Password, ou senha de uso único) são aqueles códigos de 4 a 8 dígitos que você recebe frequentemente por e-mail, SMS ou aplicativo móvel. Os códigos OTP são gerados regularmente ou sempre que uma solicitação de autenticação é enviada. O código é gerado usando um valor inicial atribuído ao usuário quando ele se cadastra pela primeira vez, além de outro fator, que pode ser desde um contador incremental até um valor de tempo.
Considere sua senha como a fechadura de uma porta da frente. Se alguém descobrir sua senha, é como se tivesse encontrado a chave. Sem a autenticação multifator (MFA), essa pessoa pode entrar sem problemas.
No entanto, a MFA solicita aos usuários uma verificação adicional, como inserir um código enviado para o celular ou escanear a impressão digital.
Essa etapa adicional torna muito mais difícil para os invasores invadirem o sistema. Mesmo que um terceiro obtenha um tipo de autenticação (como sua senha), ele ainda precisará de um segundo ou terceiro fator, que é mais difícil de obter.
Leitura complementar
- As 10 principais soluções de autenticação multifator (MFA)
- As 10 principais ferramentas RBAC de código aberto com base nas estrelas do GitHub
Links de referência
Seja o primeiro a comentar
Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios.