Ücretsiz ve açık kaynak çok faktörlü kimlik doğrulama (MFA) uygulamanıza başlarken şunları göz önünde bulundurun:
- Kurumsal düzeyde MFA çözümleri: Keycloak, Authelia, Authentik, Zitadel ve Kanidm, birden fazla kimlik doğrulama protokolünü destekleyen tam kimlik ve erişim yönetimi (IAM) sağlar.
- Hafif MFA araçları: Hanko, LLDAP, FreeIPA, privacyIDEA ve Rauthy yapılandırması daha basittir ve daha küçük veya kendi kendine barındırılan kurulumlar için daha uygundur.
Açık kaynak MFA çözümlerinin özellikleri
- Çok kiracılı mimari: Yalıtılmış veriler ve yapılandırmalarla birden fazla bağımsız kullanıcı grubunun (kiracı) kullanılmasına olanak tanır.
- Token taklidi: Yetkili işlemler için güvenli token devri veya bir kullanıcı/uygulamanın taklit edilmesine olanak tanır.
- Biyometrik kimlik doğrulama: Parmak izi gibi biyometrik faktörler sunar.
- Google Titan Güvenlik Anahtarı: Kimlik avına karşı dirençli 2FA veya şifresiz oturum açma sağlayan donanım tabanlı bir kimlik doğrulama cihazıdır.
Tüm araçlar (LDAP hariç) donanım tokenlarını (ör. YubiKey) ve FIDO2 / WebAuthN şifresiz kimlik doğrulama protokolünü destekler. FIDO2, şifreler gibi paylaşılan gizli anahtarlar kullanmaz; veri ihlalleriyle ilişkili güvenlik açıklarını en aza indirir.
Kurumsal özellikler
- OpenTelemetry: Metrikleri, izleri ve günlükleri yakalamak ve dışa aktarmak için açık kaynak standart ve teknolojiler seti.
- Özel oturumlar: Oturum davranışları üzerinde ince ayarlı kontrol sağlar, örneğin:
- MFA'nın nasıl ve ne zaman tetikleneceği (ör. oturum açmada, hassas işlemler için).
- Desteklenen MFA yöntemlerinin türü (ör. TOTP, WebAuthn, SMS)
- Kendi kendine hizmet özellikleri:
- Şifre sıfırlama
- Kullanıcı kaydı
Ayrıcalıklı erişim yönetimi (PAM) desteği
PAM'e sahip araçlar, ayrıcalıklı kullanıcıların erişim haklarını yönetmenize olanak tanır.
Kendi kendine denetim yetenekleri
Kendi kendine denetim yetenekleri, MFA (çok faktörlü kimlik doğrulama) araçları için kritik olan günlük izlenebilirliğini artırır. MFA'yı etkinleştirme/devre dışı bırakma, başarısız oturum açma denemeleri ve OTP kullanımı gibi yetkisiz veya şüpheli aktiviteleri takip etmeye yardımcı olurlar.
Kurumsal düzeyde MFA çözümleri
Keycloak, Authelia, Authentik, Zitadel ve Kanidm, kapsamlı MFA yetenekleri sunar. Bu ücretsiz MFA araçları şunları sunar:
- Birkaç MFA yöntemi: TOTP (zaman tabanlı tek kullanımlık şifre), WebAuthn, SMS, OIDC (OpenID Connect), E-posta, Push, biyometrik kimlik doğrulama, ve onay tabanlı MFA.
- Birkaç kimlik doğrulama protokolü: OAuth2, OIDC (OpenID Connect), SAML, LDAP ve RADIUS.
- Daha yüksek özelleştirme: İnce ayarlı RBAC ve MFA politikaları üzerinden özel sosyal SSO bağlantıları (OIDC/OAuth2).
Keycloak
Keycloak, SSO, kimlik aracılık, sosyal oturum açma ve RBAC'yi kapsayan ve kutudan çıktığı haliyle SAML, OAuth2, OIDC ve LDAP'yi destekleyen açık kaynaklı bir IAM platformudur.
- Keycloak, PostgreSQL, MySQL, MariaDB, Oracle ve Microsoft SQL Server dahil olmak üzere birden fazla veritabanı arka ucunu destekler.1
- Yönetici iş akışı otomasyonu, JWT Authorization Grants, istemciler için Kubernetes hizmet hesabı token kimlik doğrulaması ve metrikler ve günlükler için tam OpenTelemetry desteği. 2
Keycloak, Authelia veya Authentik'e göre kurulumu ve yapılandırması daha karmaşıktır. Varsayılan yönetici UI'ı, dar bir kullanım alanına odaklanan ekipler için gezinmesi zor olabilen geniş bir alanı kapsar.
Authelia
Authelia, bir ters proxy aracılığıyla web uygulamaları için 2FA ve SSO sağlayan açık kaynaklı bir kimlik doğrulama ve yetkilendirme sunucusudur. Bağımsız bir kimlik platformu olarak hareket etmek yerine, nginx, Traefik, Caddy ve HAProxy gibi proxy sunuculara bir eş olarak işlev görür, uygulamaların önünde oturur ve kimlik doğrulama kararlarını yönetir. Yapılandırma tamamen bir YAML dosyası üzerinden yönetilir, bu da onu sürüm kontrolü ve denetimi için basit hale getirir ancak yapılandırma şemasına aşinalık gerektirir.
Mimari ve kaynak ayak izi
Konteyner imajı 20 MB'nin altındadır ve tipik olarak 30 MB'nin altındaki RAM'i kullanır, bu da onu bu listedeki en hafif seçeneklerden biri yapar. Authelia, OpenID Connect 1.0 sertifikasyonunu elde etti ve aşağı yönlü uygulamalar için bir OIDC sağlayıcısı olarak hareket edebilir.3
Son güncellemeler
4.39 sürümü, WebAuthn üzerinden şifresiz oturum açma için passkey'ler, TV ve paylaşılan ekran oturum açma senaryoları için Cihaz Kodu Akışı, OIDC yetkilendirme politikaları için ağ kriterleri ve kimlik doğrulama seviyesini üçüncü taraflara bildirmek için RFC8176 Kimlik Doğrulama Yöntemi Referansı desteğini ekledi.4
Temel özellikler
YubiKey gibi donanım anahtarlarıyla FIDO2 WebAuthn, uyumlu kimlik doğrulayıcı uygulamalarla TOTP, Duo üzerinden mobil push bildirimleri, passkey'ler aracılığıyla şifresiz oturum açma, politika tabanlı erişim kontrolü ve Helm chart aracılığıyla Kubernetes desteği.
Sınırlamalar
- Authelia'nın çok kiracılığı, PAM desteği veya yerleşik kullanıcı yönetimi UI'ı yoktur; kullanıcı hesapları LDAP arka ucu veya statik bir YAML dosyası üzerinden yönetilir.
- Kendi kendine hizmet kullanıcı portalı veya cihaz yönetimi gereken ekipler bunun yerine Authentik veya Kanidm'i değerlendirmelidir.
Authentik
Authentik, SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM ve ileri kimlik doğrulamayı kapsayan kendi kendine barındırılan bir IAM platformudur. Keycloak'a kıyasla, özel kimlik altyapısı deneyimi olmayan ekipler için daha az başlangıç yapılandırması gerektirir.
Son güncellemeler
2025.12 sürümü, Authentik Aracısı aracılığıyla Windows, macOS ve Linux için uç nokta cihaz yönetimi, WebAuthn Koşullu UI, çoklu üst gruplar ve rol-türeyen izinlerle tam bir RBAC revizyonu ve S3 desteğiyle merkezi dosya yönetimi ekledi.5
2026.2 sürümü, SharePoint ve Windows-yerel uygulamalar için bir WS-Federation sağlayıcısı, uç nokta cihaz sinyalleri ve koşullu erişim için bir filo bağlayıcı, yerel cihaz oturum açması için Linux PAM desteği ve ED25519/ED448 sertifika oluşturma ekledi.6
Güvenlik
Authentik, yıllık bir penetrasyon testi programını ve resmi bir CVE açıklama sürecini sürdürür. Şubat 2026'da üç CVE yayınlandı, bunlardan biri kritikti ve 2025.8.6, 2025.10.4 ve 2025.12.4 sürümlerinde yamalandı. Kendi kendine barındırılan örnekleri çalıştıran ekipler güncellemeleri sürdürmelidir.7
Sınırlamalar
- 2025.10 sürümü itibarıyla Redis artık gerekli değildir; Authentik sadece PostgreSQL üzerinde çalışır.8
- PostgreSQL, tek sunucu kişisel dağıtımlar için operasyonel yük ekleyen zorunlu bir bağımlılık olmaya devam eder.
- Authentik'in ayrıca yerel OpenTelemetry desteği yoktur.
ZITADEL
ZITADEL, çok kiracılılık etrafında inşa edilmiş kendi kendine barındırılan bir kimlik altyapısı platformudur. OpenID Connect, OAuth2, SAML 2, LDAP, passkey'ler/FIDO2, OTP ve SCIM 2.0'ı destekler.
Son güncellemeler
ZITADEL, çek kaynakları örnekleri, organizasyonları, projeleri, uygulamaları ve kullanıcıları kaynak tabanlı bir API v2'ye taşımayı tamamladı.9
- Oturum Açma V2 genel kullanıma sunuldu ve v4'te yeni müşteriler için varsayılan haline geldi. Aksiyonlar V2, çok dilli desteği ve bağımsız ölçeklemeyi etkinleştiren, çekirdek işlemin dışında çalışan olay tabanlı web kancalarıyla yerleşik V1 uzantı sistemini değiştirdi.10
- CockroachDB desteği kaldırıldı; PostgreSQL, 3. sürümden itibaren desteklenen tek veritabanıdır. 11
Sınırlamalar
Yönetim, ZITADEL'in çok katmanlı kiracı modeliyle aşinalık gerektirir, bu da tek organizasyonlu dağıtımlar için kurulum karmaşıklığını artırır. 2026 yol haritası, ekibin bu modeli basitleştirmek ve yönetim konsolunu birleştirmek için çalıştığını göstermektedir.12
Kanidm
Kanidm, Rust ile yazılmış kendi kendine barındırılan bir kimlik yönetimi platformudur.
- Sadece dizin hizmetleri sağlayan LDAP'nin aksine, Kanidm, harici bileşenler gerektirmeden yerel OAuth2, OIDC, RADIUS, SSH anahtar yönetimi ve Linux PAM entegrasyonunu içerir.
- Yönetim öncelikli olarak CLI tabanlıdır; web UI'ı kullanıcı kendi kendine hizmetini ve bazı hesap yönetimini kapsar ancak tam yönetici görevlerini kapsamaz.
Son güncellemeler
Web UI'ı bu sürümde yeniden yazıldı, tema desteği ile birlikte. Kanidm üç aylık bir sürüm takibini izler. Yükseltmeler, her küçük sürüm üzerinden sırayla gerçekleştirilmelidir.13
Sınırlamalar
CLI-öncelikli yönetim modeli, komut satırı araçlarıyla rahat olmayı gerektirir. Kanidm'in 3.000 kullanıcı ve 1.500 grupla kendi benchmark'ları, FreeIPA'ya kıyasla yaklaşık 3 kat daha hızlı arama ve 5 kat daha hızlı yazma işlemleri bildirir, ancak sonuçlar iş yüküne göre değişir.14
Hafif MFA araçları
Hanko, LDAP, FreeIPA, privacyIDEA ve Rauthy, Keycloak veya Authentik gibi tam IAM platformlarından daha dar kapsamları kapsar. Protokol desteği, özelleştirme seçenekleri ve dağıtım karmaşıklığı önemli ölçüde değişir, bu nedenle "hafif" kategorisi geniş bir yelpazeyi kapsar.
Hanko
Hanko, şifresiz oturum açmaya odaklanan açık kaynaklı bir kimlik doğrulama hizmetidir. Passkey'leri, TOTP'yi, güvenlik anahtarlarını, OAuth SSO'yu (Apple, Google, GitHub) ve özel SAML SSO'yu destekler. Sunucu tarafı oturum yönetimi ve uzaktan oturum iptalini içerir.
Özel OIDC/OAuth2 sosyal bağlantılarını, kullanıcı taklitini, ayrıcalıklı/adım yükseltme oturumlarını, e-posta güvenlik bildirimlerini veya özel kullanıcı meta verilerini desteklemez. Bu yetenekleri gerektiren ekipler daha kapsamlı bir platforma ihtiyaç duyar.
LLDAP
LLDAP, hafif bir LDAP sunucusudur. Standart bir LDAP arayüzünü ve e-posta ile şifre sıfırlama dahil temel kullanıcı ve grup yönetimi için bir web UI'ını ortaya koyar. OAuth2 veya OIDC gibi kimlik doğrulama protokollerini sağlamaz; bunlar onun önüne yerleştirilen ayrı bir bileşen (Keycloak, Authelia, vb.) gerektirir.
Varsayılan olarak, kullanıcı verileri SQLite'ta saklanır. MySQL/MariaDB ve PostgreSQL de desteklenir. LLDAP, öncelikli olarak uygulamaların kullanıcı aramaları için LDAP'ye ihtiyaç duyduğu ancak operatörün OpenLDAP'nin operasyonel yükünden kaçınmak istediği kendi kendine barındırılan ortamlarda kullanılır.
privacyIDEA
privacyIDEA, tam bir kimlik sağlayıcısı değil, bir MFA yönetim sistemidir. İkinci faktörleri merkezi olarak yönetir: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, push tokenları, SMS, e-posta ve SSH anahtarları ve bunları kimlik doğrulama ön uçlarının (Keycloak, FreeIPA, Gluu, NGINX) tükettiği bir API aracılığıyla ortaya koyar. Kimlik doğrulama protokollerini kendisi yönetmez.
Son güncellemeler
3.12 sürümü, yöneticilerin kullanıcı verilerini doğrudan bu dizinlerden çekmesine ve ayrı bir senkronizasyon adımı olmadan privacyIDEA'da token atamasına olanak tanıyan Entra ID ve Keycloak için kullanıcı çözücüleri ekledi.15 Bu sürüm ayrıca yeniden tasarlanmış bir web UI'ının önizlemesini tanıttı; tam UI değiştirme 3.13 sürümü için planlanıyor. Passkey desteği, ayrı bir token türü olarak 3.11 sürümünde tanıtıldı.16
Sınırlamalar
- privacyIDEA, yerel olarak Kerberos veya diğer kimlik doğrulama protokollerini içermez.
- Otomasyon iş akışları (kayıt, devir, onboarding, offboarding) yapılandırılabilir ancak Keycloak'taki kutudan çıktığı haliyle bir TOTP kurulumunun ötesinde API entegrasyonu gerektirir.
FreeIPA
FreeIPA, Linux ve UNIX ortamları için bir kimlik yönetim sistemidir. LDAP dizinini (389-ds), bir Kerberos KDC'sini, bir DNS sunucusunu, bir sertifika yetkilisini ve Active Directory entegrasyonu için Samba kütüphanelerini, web UI'ı ve CLI'sı olan tek dağıtılabilir bir birimde birleştirir.
TOTP ve OTP tokenlarını ve ayrıca FIDO2/passkey kimlik doğrulamasını destekler. FreeIPA, merkezi Linux anahtarı kimlik doğrulaması, Kerberos bilet ihraç etme, sudo politika yönetimi ve kullanıcı dizin hizmetleri gerektiren ortamlar için tasarlanmıştır.
Sınırlamalar
- Birleştirilmiş mimari, FreeIPA'yı dağıtmayı birden fazla alt sistemi yapılandırmayı gerektirir.
- Güncellemeler ve yükseltmeler, tek bileşenli araçlardan daha fazla risk taşır çünkü herhangi bir birleştirilmiş hizmete yapılan değişiklikler diğerlerini etkileyebilir.
- Linux/UNIX anahtarı tabanlı kimlik doğrulamasını kullanmayan ortamlar için pratik bir seçim değildir.
Rauthy
Rauthy, bir OpenID Connect sağlayıcısı ve tek oturum açma çözümüdür. WebAuthn/FIDO2/passkey'leri, TOTP'yi ve dış kimlik sağlayıcıları (GitHub, Google, Microsoft ve genel OIDC upstream'leri olarak yapılandırılan diğerleri) aracılığıyla sosyal oturum açmayı destekler. Düşük kaynak tüketimi için tasarlanmıştır ve tek bir ikili veya konteyner imajı olarak gelir.
0.27 sürümünden itibaren, Rauthy, YubiKey passkey'leri üzerinden yerel iş istasyonu oturum açmalarını ve geçici şifreler üzerinden MFA'lı SSH'ı destekleyen Linux PAM ve NSS entegrasyonunu etkinleştiren bir rauthy-pam-nss modülü içerir.17
Sınırlamalar
Rauthy, RADIUS desteği veya yerleşik bir LDAP sunucusu içermez. Diğer uygulamaların kimlik doğrulamasını yaptığı bir OIDC sağlayıcısı olarak işlev görür; tam bir kullanıcı dizinini değiştirmez.
SSS'ler
Çok faktörlü kimlik doğrulama (MFA), kullanıcının bir uygulama, çevrimiçi hesap veya VPN gibi bir kaynağa erişmek için iki veya daha fazla doğrulama faktörü sağlamasını gerektirir. Etkili bir kimlik ve erişim yönetimi (IAM) politikasına sahip olmak esastır. Sadece kullanıcı adı ve şifre talep etmek yerine, MFA bir veya daha fazla doğrulama faktörü gerektirir, bu da başarılı bir siber saldırı olasılığını azaltır.
MFA, ek doğrulama verisi (faktörler) talep ederek çalışır. Tek kullanımlık şifreler, kullanıcıların karşılaştığı en yaygın MFA faktörlerinden biridir.
OTP'ler, e-posta, SMS veya mobil uygulama aracılığıyla sık sık aldığınız 4-8 haneli kodlardır. OTP'ler düzenli olarak veya bir kimlik doğrulama isteği her gönderildiğinde yeni bir kod oluşturur. Kod, kullanıcı ilk kayıt olduğunda atanan bir başlangıç değeri ve artan bir sayaçtan zamana kadar herhangi bir şey olabilecek başka bir faktör kullanılarak oluşturulur.
Şifrenizi bir ön kapı kilidine benzetin. Birisi şifrenizi keşfederse, kilit için anahtarı bulmuş gibidir. MFA olmadan, içeri girebilirler.
ancak, MFA kullanıcılardan telefonlarına gönderilen bir kodu girmelerini veya parmak izlerini taramalarını bekleyerek ek doğrulama ister.
Bu ek adım, saldırganların içeri girmesini çok daha zor hale getirir. Üçüncü bir taraf bir kimlik doğrulama türünü (örneğin şifrenizi) elde etse bile, elde etmesi daha zor olan ikinci veya üçüncü bir faktöre hala ihtiyaç duyacaklardır.
Daha fazla okuma
- En İyi 10 Çok Faktörlü Kimlik Doğrulama (MFA) Çözümü
- GitHub Yıldızlarına Göre En İyi 10 Açık Kaynak RBAC Aracı
Bu araştırmayı kaynak gösterin
Yayınlayacağınız yere uygun formatı seçin. Bağlantılı sürümü CMS'inize yapıştırmak, geri bağlantıyı korur.
@misc{dilmegani2026,
author = {Dilmegani, Cem and Sezer, Sena},
title = {{10 Açık Kaynak MFA Aracını Karşılaştırın}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/open-source-mfa}},
note = {AIMultiple. Erişim tarihi: 3 Haziran 2026}
}









Yorum yapan ilk kişi olun
E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir. Yorumlar orijinal dilinde bırakılır.