Multi-factor authentication (MFA) requires the user to provide two or more verification factors to access a resource such as an application, online account, or VPN. It is essential to have an effective identity and access management (IAM) policy. Rather than simply requesting a username and password, MFA requires one or more verification factors, reducing the likelihood of a successful cyber attack.

MFA works by requesting additional verification data (factors). One-time passwords are one of the most common MFA factors that users encounter. OTPs are those 4-8-digit codes that you frequently receive via email, SMS, or a mobile app. OTPs generate a new code regularly or whenever an authentication request is submitted. The code is generated using a seed value assigned to the user when they first register, as well as another factor, which could be anything from an incremented counter to a time value.

How does MFA enhance security?

Consider your password to be similar to a front door lock. If someone discovers your password, it is as if they have found the key to the lock. Without MFA, they can stroll right in. However, MFA asks users for extra verification, such as inputting a code sent to their phone or scanning their fingerprint.This extra step makes it much harder for attackers to break in. Even if a third party obtains one type of authentication (such as your password), they will still need a second or third factor, which is more difficult to acquire.

Siber güvenlik Kimlik ve Erişim MFA

10 Açık Kaynaklı Çok Faktörlü Kimlik Doğrulama Aracını Karşılaştırın

Cem Dilmegani

ile

Sena Sezer

güncellendi Şub 23, 2026

Bakınız etik normlar

Loading Chart

Ücretsiz ve açık kaynaklı çok faktörlü kimlik doğrulama (MFA) uygulamanıza başlarken şunları göz önünde bulundurun:

Kurumsal düzeyde çok faktörlü kimlik doğrulama (MFA) çözümleri : Keycloak, Authelia, Authentik, Zitadel ve Kanidm, birden fazla kimlik doğrulama protokolünü destekleyen eksiksiz kimlik ve erişim yönetimi (IAM) çözümleri sunar.
Hafif çok faktörlü kimlik doğrulama araçları : Hanko, LLDAP, FreeIPA, privacyIDEA ve Rauthy, yapılandırması daha basit ve daha küçük veya kendi sunucularında barındırılan sistemler için daha uygundur.

Açık kaynaklı MFA çözümlerinin özellikleri

Çoklu kiracılık mimarisi: Birbirinden bağımsız veri ve yapılandırmalara sahip birden fazla kullanıcı grubuna (kiracıya) olanak tanır.
Token taklit etme: Yetkilendirilmiş işlemler için güvenli token yetkilendirmesine veya bir kullanıcının/uygulamanın taklit edilmesine olanak tanır.
Biyometrik kimlik doğrulama: Parmak izi gibi biyometrik faktörler sunar.
Google Titan Güvenlik Anahtarı : Kimlik avına karşı dayanıklı 2FA veya parola gerektirmeyen giriş sağlayan donanım tabanlı bir kimlik doğrulama cihazı.

LDAP hariç tüm araçlar donanım token'larını (örneğin YubiKey) ve FIDO2 / WebAuthN parola gerektirmeyen kimlik doğrulama protokolünü destekler. FIDO2, parolalar gibi paylaşılan gizli bilgiler kullanmaz; bu da veri ihlalleriyle ilişkili güvenlik açıklarını en aza indirir.

Kurumsal özellikler

OpenTelemetry: Metrikleri, izleri ve günlükleri yakalamak ve dışa aktarmak için kullanılan açık kaynaklı bir standart ve teknoloji seti.
Özel oturumlar: Oturum davranışları üzerinde ayrıntılı kontrol sağlar, örneğin:
- Çok faktörlü kimlik doğrulamanın (MFA) nasıl ve ne zaman tetiklendiği (örneğin, oturum açma sırasında, hassas işlemler için).
- Desteklenen çok faktörlü kimlik doğrulama yöntemlerinin türü (örneğin, TOTP, WebAuthn, SMS)
Self servis özellikleri:
- Şifre sıfırlama
- Kullanıcı kaydı

Ayrıcalıklı erişim yönetimi (PAM) desteği

PAM özellikli araçlar, ayrıcalıklı kullanıcıların erişim haklarını yönetmenize olanak tanır.

Öz denetim yetenekleri

Öz denetim yetenekleri , çok faktörlü kimlik doğrulama (MFA) araçları için kritik önem taşıyan günlük izlenebilirliğini artırır. Bu yetenekler, MFA'yı etkinleştirme/devre dışı bırakma, başarısız giriş denemeleri ve OTP kullanımı gibi yetkisiz veya şüpheli etkinliklerin izlenmesine yardımcı olur .

Kurumsal düzeyde çok faktörlü kimlik doğrulama (MFA) çözümleri

Keycloak, Authelia, Authentik, Zitadel ve Kanidm kapsamlı MFA (Çok Faktörlü Kimlik Doğrulama) özellikleri sunmaktadır. Bu ücretsiz MFA araçları şunları sunmaktadır:

Çeşitli çok faktörlü kimlik doğrulama yöntemleri: TOTP (zamana dayalı tek kullanımlık şifre), WebAuthn, SMS, OIDC (OpenID Connect), E-posta, Anlık bildirim, biyometrik kimlik doğrulama, ve onaya dayalı MFA.
Çeşitli kimlik doğrulama protokolleri : OAuth2, OIDC (OpenID Connect), SAML, LDAP ve RADIUS.
Daha yüksek özelleştirme: Ayrıntılı RBAC ve MFA politikaları üzerinden özel sosyal SSO bağlantıları (OIDC/OAuth2).

Anahtar pelerin

Keycloak, tekli oturum açma (SSO), kimlik aracılığı, sosyal giriş ve RBAC'yi kapsayan ve SAML, OAuth2, OIDC ve LDAP'ı varsayılan olarak destekleyen açık kaynaklı bir IAM platformudur.

Keycloak, PostgreSQL, MySQL, MariaDB, Oracle ve Microsoft SQL Server dahil olmak üzere birden fazla veritabanı arka ucunu destekler. ¹
Yönetimsel iş akışı otomasyonu, JWT Yetkilendirme Hibeleri, istemciler için Kubernetes hizmet hesabı belirteci kimlik doğrulaması ve ölçümler ve günlük kaydı için tam OpenTelemetry desteği. ²

Keycloak'ın kurulumu ve yapılandırılması Authelia veya Authentik'e göre daha karmaşıktır. Varsayılan yönetim arayüzü, dar bir kullanım alanı odaklı ekipler için gezinmesi zor olabilecek geniş bir alanı kapsar.

Authelia

Authelia, ters proxy aracılığıyla web uygulamaları için 2FA ve SSO sağlayan açık kaynaklı bir kimlik doğrulama ve yetkilendirme sunucusudur. Bağımsız bir kimlik platformu olarak hareket etmek yerine, nginx, Traefik, Caddy ve HAProxy gibi proxy'lere eşlik eden, uygulamaların önünde yer alan ve kimlik doğrulama kararlarını yöneten bir yardımcı olarak çalışır. Yapılandırma tamamen bir YAML dosyası üzerinden yönetilir, bu da sürüm kontrolünü ve denetimi kolaylaştırır ancak yapılandırma şemasına aşinalık gerektirir.

Mimari ve kaynak ayak izi

Konteyner imajı 20 MB'ın altında ve genellikle 30 MB'tan az RAM kullanıyor, bu da onu bu listedeki en hafif seçeneklerden biri yapıyor. Authelia, OpenID Connect 1.0 sertifikasını aldı ve alt uygulamalar için bir OIDC sağlayıcısı olarak işlev görebilir. ³

Son güncellemeler

Sürüm 4.39, WebAuthn aracılığıyla parola/parolasız giriş, TV ve paylaşımlı ekran oturum açma senaryoları için Cihaz Kodu Akışı, OIDC yetkilendirme politikaları için ağ kriterleri ve üçüncü taraflara kimlik doğrulama düzeyini iletmek için RFC8176 Kimlik Doğrulama Yöntemi Referansı desteği ekledi. ⁴

Başlıca özellikler

FIDO2 WebAuthn (YubiKey gibi donanım anahtarlarıyla), TOTP (uyumlu kimlik doğrulama uygulamalarıyla), Duo üzerinden mobil anlık bildirimler, passkey'ler aracılığıyla parolasız giriş, politika tabanlı erişim kontrolü ve Helm grafiği üzerinden Kubernetes desteği.

Sınırlamalar

Authelia'da çoklu kiracılık, PAM desteği ve yerleşik kullanıcı yönetim arayüzü bulunmamaktadır; kullanıcı hesapları LDAP arka ucu veya statik bir YAML dosyası aracılığıyla yönetilir.
Kendi kendine hizmet veren kullanıcı portalına veya cihaz yönetimine ihtiyaç duyan ekipler, bunun yerine Authentik veya Kanidm'i değerlendirmelidir.

Orijinal

Authentik, SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM ve ileriye dönük kimlik doğrulamayı kapsayan, kendi sunucunuzda barındırabileceğiniz bir IAM platformudur. Keycloak ile karşılaştırıldığında, özel kimlik altyapısı deneyimi olmayan ekipler için daha az başlangıç yapılandırması gerektirir.

Son güncellemeler

2025.12 sürümü, Authentik Agent aracılığıyla Windows, macOS ve Linux için uç nokta aygıt yönetimi, WebAuthn Koşullu Kullanıcı Arayüzü, çoklu üst grup ve rol tabanlı izinlerle tam bir RBAC revizyonu ve S3 desteğiyle merkezi dosya yönetimi özelliklerini ekledi. ⁵

2026.2 sürümü, SharePoint ve Windows yerel uygulamaları için bir WS-Federation sağlayıcısı, uç nokta aygıt sinyalleri ve koşullu erişim için bir filo bağlayıcısı, yerel aygıt oturum açma için Linux PAM desteği ve ED25519/ED448 sertifika oluşturma özelliklerini ekledi. ⁶

Güvenlik

Authentik, yıllık sızma testi programı ve resmi bir CVE açıklama süreci yürütmektedir. Şubat 2026'da üç CVE yayınlandı; bunlardan biri kritik olup 2025.8.6, 2025.10.4 ve 2025.12.4 sürümlerinde yamalandı. Kendi sunucularında barındırdıkları örnekleri kullanan ekiplerin güncellemeleri takip etmeleri gerekmektedir. ⁷

Sınırlamalar

2025.10 sürümünden itibaren Redis artık gerekli değildir. Authentik yalnızca PostgreSQL üzerinde çalışır. ⁸
PostgreSQL, tek sunuculu kişisel dağıtımlar için operasyonel yükü artıran, zorunlu bir bağımlılık olmaya devam ediyor.
Authentik'in ayrıca yerleşik OpenTelemetry desteği de bulunmuyor.

ZITADEL

ZITADEL, çoklu kiracılılık üzerine kurulu, kendi kendine barındırılan bir kimlik altyapı platformudur. OpenID Connect, OAuth2, SAML 2, LDAP, parola anahtarları/FIDO2, OTP ve SCIM 2.0'ı destekler.

Son güncellemeler

ZITADEL, temel kaynak örnekleri, kuruluşlar, projeler, uygulamalar ve kullanıcıların kaynak tabanlı API v2'ye geçişini tamamladı. ⁹

Giriş (Login) V2 genel kullanıma sunuldu ve V4'te yeni müşteriler için varsayılan seçenek haline geldi. Eylemler (Actions) V2, yerleşik V1 uzantı sistemini, çekirdek işlem dışında çalışan olay odaklı web kancalarıyla değiştirerek çok dilli desteği ve bağımsız ölçeklendirmeyi mümkün kıldı. ¹⁰
CockroachDB desteği kaldırıldı; 3. sürümden itibaren yalnızca PostgreSQL veritabanı desteklenmektedir. ¹¹

Sınırlamalar

Yönetim, ZITADEL'in çok katmanlı kiracı modeline aşinalık gerektirir; bu da tek kuruluşlu dağıtımlar için kurulum karmaşıklığını artırır. 2026 yol haritası, ekibin bu modeli basitleştirmek ve yönetim konsolunu birleştirmek üzerinde çalıştığını gösteriyor. ¹²

Kanidm

Kanidm, Rust ile yazılmış, kendi sunucunuzda barındırabileceğiniz bir kimlik yönetim platformudur.

Yalnızca dizin hizmetleri sağlayan LDAP'ın aksine, Kanidm harici bileşenlere ihtiyaç duymadan yerel OAuth2, OIDC, RADIUS, SSH anahtar yönetimi ve Linux PAM entegrasyonunu içerir.
Yönetim esas olarak komut satırı arayüzüne (CLI) dayanmaktadır; web arayüzü kullanıcıların kendi kendine hizmet vermesini ve bazı hesap yönetimi işlemlerini kapsar, ancak tam yönetim görevlerini içermez.

Son güncellemeler

Bu sürümde web arayüzü yeniden yazıldı ve tema desteği eklendi. Kanidm üç aylık bir sürüm takvimini takip eder. Yükseltmeler, her küçük sürüm üzerinden sırayla yapılmalıdır. ¹³

Sınırlamalar

Komut satırı arayüzü (CLI) öncelikli yönetim modeli, komut satırı araçlarına aşinalık gerektirir. Kanidm'in 3.000 kullanıcı ve 1.500 grupla yaptığı kendi kıyaslama testleri, FreeIPA'ya kıyasla yaklaşık 3 kat daha hızlı arama ve 5 kat daha hızlı yazma işlemleri gösteriyor, ancak sonuçlar iş yüküne göre değişiklik gösterebilir. ¹⁴

Hafif MFA araçları

Hanko, LDAP, FreeIPA, privacyIDEA ve Rauthy, Keycloak veya Authentik gibi tam kapsamlı IAM platformlarına kıyasla daha dar alanları kapsar. Protokol destekleri, özelleştirme seçenekleri ve dağıtım karmaşıklıkları önemli ölçüde farklılık gösterdiğinden, "hafif" kategorisi geniş bir yelpazeyi kapsar.

Hanko

Hanko, parola gerektirmeyen oturum açmaya odaklanmış açık kaynaklı bir kimlik doğrulama hizmetidir. Parola anahtarları, TOTP, güvenlik anahtarları, OAuth SSO (Apple, Google, GitHub) ve özel SAML SSO'yu destekler. Sunucu tarafı oturum yönetimi ve uzaktan oturum iptali özelliklerini içerir.

Özel OIDC/OAuth2 sosyal bağlantılarını, kullanıcı kimliğine bürünmeyi, ayrıcalıklı/adım adım oturumları, e-posta güvenlik bildirimlerini veya özel kullanıcı meta verilerini desteklemez. Bu özelliklere ihtiyaç duyan ekiplerin daha kapsamlı bir platforma ihtiyacı vardır.

LLDAP

LLDAP, hafif bir LDAP sunucusudur. Standart bir LDAP arayüzü ve e-posta yoluyla parola sıfırlama da dahil olmak üzere temel kullanıcı ve grup yönetimi için bir web arayüzü sunar. OAuth2 veya OIDC gibi kimlik doğrulama protokollerini sağlamaz; bu protokoller için önüne ayrı bir bileşen (Keycloak, Authelia, vb.) yerleştirilmesi gerekir.

Varsayılan olarak, kullanıcı verileri SQLite'da saklanır. MySQL/MariaDB ve PostgreSQL de desteklenmektedir. LLDAP, öncelikle uygulamaların kullanıcı aramaları için LDAP'ye ihtiyaç duyduğu ancak operatörün OpenLDAP'nin operasyonel yükünden kaçınmak istediği kendi kendine barındırılan ortamlarda kullanılır.

gizlilik FİKRİ

privacyIDEA, tam teşekküllü bir kimlik sağlayıcı değil, bir MFA yönetim sistemidir. TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, push token'lar, SMS, e-posta ve SSH anahtarları gibi ikinci faktörleri merkezi olarak yönetir ve bunları kimlik doğrulama ön uçlarının (Keycloak, FreeIPA, Gluu, NGINX) kullandığı bir API aracılığıyla sunar. Kimlik doğrulama protokollerini kendisi yönetmez.

Son güncellemeler

3.12 sürümü, Entra ID ve Keycloak için kullanıcı çözümleyicileri ekleyerek yöneticilerin kullanıcı verilerini doğrudan bu dizinlerden çekmelerine ve ayrı bir senkronizasyon adımına gerek kalmadan privacyIDEA'da belirteçler atamalarına olanak tanır. ¹⁵ Bu sürümde ayrıca yeniden tasarlanmış bir web arayüzünün önizlemesi de sunuldu; tam arayüz yenilemesi 3.13 sürümünde planlanmaktadır. Parola anahtarı desteği, ayrı bir belirteç türü olarak 3.11 sürümünde tanıtıldı. ¹⁶

Sınırlamalar

privacyIDEA, Kerberos veya diğer kimlik doğrulama protokollerini yerleşik olarak içermez.
Otomasyon iş akışları (kayıt, devir, işe alım, işten çıkarma) yapılandırılabilir ancak Keycloak'taki standart bir TOTP kurulumunun gerektirdiğinden daha fazla API entegrasyonu gerektirir.

FreeIPA

FreeIPA, Linux ve UNIX ortamları için bir kimlik yönetim sistemidir. LDAP dizini (389-ds), Kerberos KDC, DNS sunucusu, sertifika yetkilisi ve Active Directory entegrasyonu için Samba kütüphanelerini, web arayüzü ve komut satırı arayüzü (CLI) ile tek bir dağıtılabilir ünite halinde bir araya getirir.

TOTP ve OTP belirteçlerinin yanı sıra FIDO2/passkey kimlik doğrulamasını da destekler. FreeIPA, merkezi Linux ana bilgisayar kimlik doğrulaması, Kerberos bilet düzenleme, sudo politika yönetimi ve kullanıcı dizin hizmetleri gerektiren ortamlar için tasarlanmıştır.

Sınırlamalar

Paketlenmiş mimari, FreeIPA'nın dağıtımının birden fazla alt sistemin yapılandırılmasını gerektirdiği anlamına gelir.
Güncellemeler ve iyileştirmeler, tek bileşenli araçlara kıyasla daha fazla risk taşır çünkü paketlenmiş herhangi bir hizmette yapılan değişiklikler diğerlerini de etkileyebilir.
Linux/UNIX tabanlı kimlik doğrulama kullanmayan ortamlar için pratik bir seçenek değildir.

Rauthy

Rauthy, OpenID Connect sağlayıcısı ve tek oturum açma çözümüdür. WebAuthn/FIDO2/passkeys, TOTP ve harici kimlik sağlayıcıları (GitHub, Google, Microsoft ve genel OIDC yukarı akışları olarak yapılandırılmış diğerleri) aracılığıyla sosyal oturum açmayı destekler. Düşük kaynak tüketimi için tasarlanmıştır ve tek bir ikili dosya veya konteyner görüntüsü olarak gönderilir.

Rauthy, 0.27 sürümünden itibaren, Linux PAM ve NSS entegrasyonunu sağlayan ve YubiKey parola anahtarları aracılığıyla yerel iş istasyonu oturum açmayı ve geçici parolalar aracılığıyla MFA ile güvenli SSH'yi destekleyen rauthy-pam-nss modülünü içermektedir. ¹⁷

Sınırlamalar

Rauthy, RADIUS desteği veya yerleşik bir LDAP sunucusu içermez. Diğer uygulamaların kimlik doğrulaması yaptığı bir OIDC sağlayıcısı olarak işlev görür; tam bir kullanıcı dizininin yerini almaz.

SSS'ler

Çok faktörlü kimlik doğrulama (MFA), kullanıcının bir uygulamaya, çevrimiçi hesaba veya VPN'e erişmek için iki veya daha fazla doğrulama faktörü sağlamasını gerektirir. Etkili bir kimlik ve erişim yönetimi (IAM) politikasına sahip olmak çok önemlidir. Sadece kullanıcı adı ve parola istemek yerine, MFA bir veya daha fazla doğrulama faktörü gerektirerek başarılı bir siber saldırı olasılığını azaltır.

Çok faktörlü kimlik doğrulama (MFA), ek doğrulama verileri (faktörler) isteyerek çalışır. Tek kullanımlık şifreler, kullanıcıların karşılaştığı en yaygın MFA faktörlerinden biridir.
OTP'ler, e-posta, SMS veya mobil uygulama aracılığıyla sık sık aldığınız 4-8 haneli kodlardır. OTP'ler düzenli olarak veya bir kimlik doğrulama isteği gönderildiğinde yeni bir kod oluşturur. Kod, kullanıcının ilk kayıt olduğunda atanan bir başlangıç değeri ve artan bir sayaçtan zaman değerine kadar herhangi bir şey olabilen başka bir faktör kullanılarak oluşturulur.

Parolanızı bir ön kapı kilidine benzetin. Birisi parolanızı keşfederse, sanki kilidin anahtarını bulmuş gibi olur. Çok faktörlü kimlik doğrulaması olmadan, rahatça içeri girebilirler.

Ancak, çok faktörlü kimlik doğrulama (MFA), kullanıcılardan telefonlarına gönderilen bir kodu girme veya parmak izlerini tarama gibi ek doğrulama işlemleri talep eder.

Bu ek adım, saldırganların sisteme sızmasını çok daha zorlaştırıyor. Üçüncü bir taraf bir tür kimlik doğrulamasını (örneğin şifrenizi) ele geçirse bile, yine de elde edilmesi daha zor olan ikinci veya üçüncü bir faktöre ihtiyaç duyacaktır.

Daha fazla okuma

Referans Linkleri

FIPS 140-2 support - Keycloak

Keycloak 26.5.0 released - Keycloak

Keycloak

Authelia | Free Open-Source Software Modern IAM Solution

Release v4.39.0 · authelia/authelia · GitHub

authentik version 2025.12 is here! | authentik

Release 2026.2 | authentik

CVE-2026-25227 | authentik

Release 2025.10 | authentik

Zitadel Version 4 Release Candidate now available! · zitadel/zitadel · Discussion #10201 · GitHub

10.

ZITADEL Changelog | ZITADEL

11.

Release Cycle | ZITADEL Docs

12.

ZITADEL - Identity Infrastructure, Simplified

13.

Server Updates - Kanidm Administration

14.

GitHub - kanidm/kanidm: Kanidm: A simple, secure, and fast identity management platform · GitHub

15.

https://www.privacyidea.org/privacyidea-3-12-is-available/

16.

https://www.privacyidea.org/privacyidea-3-11-is-available/

17.

Introduction - Rauthy Documentation

Cem Dilmegani

Baş Analist

Takip Et

Cem, 2017'den beri AIMultiple'da baş analist olarak görev yapmaktadır. AIMultiple, her ay Fortune 500 şirketlerinin %55'i de dahil olmak üzere yüz binlerce işletmeye (benzer Web'e göre) bilgi sağlamaktadır. Cem'in çalışmaları, Business Insider, Forbes, Washington Post gibi önde gelen küresel yayınlar, Deloitte, HPE gibi küresel firmalar, Dünya Ekonomik Forumu gibi STK'lar ve Avrupa Komisyonu gibi uluslararası kuruluşlar tarafından alıntılanmıştır. AIMultiple'ı referans gösteren daha fazla saygın şirket ve kaynağı görebilirsiniz. Kariyeri boyunca Cem, teknoloji danışmanı, teknoloji alıcısı ve teknoloji girişimcisi olarak görev yapmıştır. On yıldan fazla bir süre McKinsey & Company ve Altman Solon'da işletmelere teknoloji kararları konusunda danışmanlık yapmıştır. Ayrıca dijitalleşme üzerine bir McKinsey raporu yayınlamıştır. Bir telekom şirketinin CEO'suna bağlı olarak teknoloji stratejisi ve tedarikini yönetmiştir. Ayrıca, 2 yıl içinde sıfırdan 7 haneli yıllık yinelenen gelire ve 9 haneli değerlemeye ulaşan derin teknoloji şirketi Hypatos'un ticari büyümesini yönetmiştir. Cem'in Hypatos'taki çalışmaları TechCrunch ve Business Insider gibi önde gelen teknoloji yayınlarında yer aldı. Cem düzenli olarak uluslararası teknoloji konferanslarında konuşmacı olarak yer almaktadır. Boğaziçi Üniversitesi'nden bilgisayar mühendisliği diplomasına ve Columbia Business School'dan MBA derecesine sahiptir.

Tam Profili Görüntüle

Araştıran