No description

Find a file

DiamantTh 1eb61204d1 Use official CC BY-SA legalcode text		2026-04-29 01:35:58 +02:00
categories	Improve markdown link separators	2026-04-29 01:28:41 +02:00
.gitignore	Fix Codex ignore pattern	2026-04-28 06:03:37 +02:00
LICENSE.md	Use official CC BY-SA legalcode text	2026-04-29 01:35:58 +02:00
README.md	Point README license section to local markdown	2026-04-29 01:29:40 +02:00

README.md

FOSS mit FIDO2

Lizenz der Repo-Texte und Tabellen: CC BY-SA 4.0

Diese Sammlung dokumentiert den aktuellen Stand von FOSS-Projekten und offenen Plattformen, die FIDO2, WebAuthn, Passkeys oder Hardware-Sicherheitsschluessel unterstuetzen. Aufgenommen werden nur Eintraege, fuer die sich die Unterstuetzung anhand belastbarer Quellen nachvollziehen laesst, bevorzugt ueber offizielle Dokumentation, offizielle Projektseiten oder offizielle Erweiterungen.

Die Trennung zwischen MFA/2FA und Passwordless ist absichtlich strikt:

MFA/2FA bedeutet: WebAuthn/FIDO2 wird als zweiter Faktor nach Passwort verwendet.
Passwordless bedeutet: Anmeldung ohne Passwort per Passkey, WebAuthn oder vergleichbarem FIDO2-Flow.
Wenn nur Plugin- oder Erweiterungs-Support existiert, wird das in Implementierung explizit genannt.

Cloud und Zusammenarbeit

Details: categories/cloud-collaboration.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
Nextcloud	PHP	Off. App	Ja	Ja	Vorhanden	Site · Code · 2FA-App · PW-Issue · MFA-Hinweis

CMS

Details: categories/cms.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
Drupal	PHP	Modul	Kein Nachweis	Ja	Per Modul vorhanden	Site · Code · PW
Ghost	JavaScript	Kein Nachweis	Kein Nachweis	Kein Nachweis	Kein Hinweis	Site · Code · Docs
Grav	PHP	Kein Nachweis	Kein Nachweis	Kein Nachweis	Offen	Site · Code · Issue
Joomla	PHP	Nativ	Ja	Ja	Vorhanden	Site · Code · PW · MFA
TYPO3	PHP	Erweiterung	Kein Nachweis	Ja	Per Erweiterung vorhanden	Site · Code · BE · FE
WordPress	PHP	Plugin	Ja	Ja	Per Plugin vorhanden	Site · Code · 2FA · PW

Code-Hosting und DevOps

Details: categories/code-hosting-devops.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
Forgejo	Go	Nativ*	Ja*	Kein Nachweis	Teilweise vorhanden	Site · Info · 2FA
Gitea	Go	Nativ	Ja	Kein Nachweis	Teilweise vorhanden	Site · Code · Quelle
GitLab	Ruby	Nativ	Ja	Ja	Vorhanden	Site · Code · PW · MFA

Community und Foren

Details: categories/community-forums.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
Discourse	Ruby	Nativ	Ja	Ja	Vorhanden	Site · Code · PW · MFA
Flarum	PHP	Plugin	Kein Nachweis	Ja	Per Plugin vorhanden	Site · Code · PW · Thread
NodeBB	JavaScript	Off. Plugin	Ja	Kein Nachweis	Teilweise vorhanden	Site · Code · Blog · Plugin
WoltLab Suite Core / WCF	PHP	Kommerzielles Plugin	Kein Nachweis	Ja	Geplant	Site · Code · Plugin · Issue

DNS- und Infrastruktur-Panels

Details: categories/dns-infra-panels.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
Poweradmin	PHP	Nativ	Nein (nur TOTP)	Kein Nachweis	Kein Hinweis	Site · Code · Auth
PowerDNS-Admin	Python	Nativ	Nein (nur TOTP)	Kein Nachweis	Kein Hinweis	Site · Code · Auth

Fediverse und soziale Netzwerke

Details: categories/fediverse-social.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
Akkoma	Elixir	Kein Nachweis	Kein Nachweis	Kein Nachweis	Offen	Site · Code · Issue
Mastodon	Ruby	Nativ	Ja	Kein Nachweis	Offen	Site · Code · Issue
Misskey	TypeScript	Nativ	Ja	Ja	Vorhanden	Site · Code · Frontend · 2FA-UI · Backend · E2E
PeerTube	TypeScript	Nativ	Nein (nur TOTP)	Kein Nachweis	Kein Hinweis	Site · Code · 2FA-Doku · API
Pleroma	Elixir	Kein Nachweis	Kein Nachweis	Kein Nachweis	Offen	Site · Code · Issue-2893 · Issue-1868 · Issue-209

Identity und Access Management

Details: categories/identity-access.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
authentik	Python	Nativ	Ja	Ja	Vorhanden	Site · Code · WebAuthn · Login
Keycloak	Java	Nativ	Ja	Ja	Vorhanden	Site · Code · Doku

Server- und Hosting-Panels

Details: categories/server-hosting-panels.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
Froxlor	PHP	Kein Nachweis	Kein Nachweis	Kein Nachweis	Offen	Site · Code · Issue · 2FA-Datei · Docs
HestiaCP	Shell/PHP	Kein Nachweis	Kein Nachweis	Kein Nachweis	Kein Hinweis	Site · Code
ISPConfig	PHP	Kein Nachweis	Kein Nachweis	Kein Nachweis	Kein Hinweis	Site · Docs
Portainer CE	TypeScript/Go	Kein Nachweis	Kein Nachweis	Kein Nachweis	Kein Hinweis	Site · Code · Docs
Proxmox VE	Perl/JavaScript	Nativ	Ja	Kein Nachweis	Teilweise vorhanden	Site · Code · WebAuthn
Virtualmin GPL	Perl	Kein Nachweis	Kein Nachweis	Kein Nachweis	Kein Hinweis	Site · Info
Webmin	Perl	Nativ	Nein (nur TOTP)	Kein Nachweis	Kein Hinweis	Site · Code · 2FA

Ticketsysteme und Helpdesk

Details: categories/ticketing-helpdesk.md

Projekt	Sprache	Implementierung	MFA/2FA	Passwordless	Ausblick	Links
FreeScout	PHP	Offizielles SAML-Modul	Kein nativer Nachweis	Indirekt via offiziellem SAML-Modul	Kein Hinweis	Site · Code · Module · SAML · Git-Issue
GLPI	PHP	Offizielle OAuth-/SAML-Plugins	Kein nativer Nachweis	Indirekt via OAuth SSO oder SAML	Kein Hinweis	Site · Code · Core-Auth · OAuth · SAML
osTicket	PHP	Klassische Auth / Plugins	Kein Nachweis	Kein Nachweis	Kein Hinweis	Site · Code · Docs · Plugins
OTOBO	Perl	Klassische Auth	Kein Nachweis	Kein Nachweis	Kein Hinweis	Site · Code · Auth
Request Tracker (RT)	Perl	Externe Webserver-Auth	Kein nativer Nachweis	Indirekt ueber externen Webserver/Auth-Stack	Kein Hinweis	Site · Code · Auth
Zammad	Ruby	Kerberos-SSO	Kein nativer Nachweis	Indirekt via Kerberos-SSO	Kein Hinweis	Site · Code · SSO
Znuny	Perl	Eingebautes SAML-SSO	Kein nativer Nachweis	Indirekt via SAML-IdP	Kein Hinweis	Site · Code · SAML

Wikis und Wissensmanagement

Details: categories/wikis-knowledge.md

Projekt	Sprache	Impl.	MFA/2FA	Passwordless	Ausblick	Links
MediaWiki	PHP	Off. Erw.	Ja	Experimentell	Teilweise vorhanden	Site · Code · OATHAuth

Hinweise zur Einordnung

Nativ bedeutet: Die Funktion ist direkt im Projekt bzw. in dessen offizieller Dokumentation beschrieben.
Offizielle App oder Offizielle Erweiterung bedeutet: Nicht im Kern, aber ueber einen offiziell gefuehrten Baustein.
Plugins bedeutet: Die Unterstuetzung ist vorhanden, aber nicht Bestandteil des Kernprojekts.
SSO/IdP bedeutet: Die Anmeldung kann ueber ein externes Identitaetssystem laufen; FIDO2/Passkeys haengen dann vom angebundenen IdP ab, nicht vom Projekt selbst.
Plugin/SSO bedeutet: Die Funktion kommt ueber ein offizielles oder etabliertes Zusatzmodul und haengt oft ebenfalls am externen IdP.
Ausblick beschreibt den praktisch nuetzlichen Status fuer die Weiterentwicklung oder Vollstaendigkeit des FIDO2/WebAuthn-Supports.
Vorhanden bedeutet: Das Projekt hat den benoetigten Support bereits in der geprueften Form.
Teilweise vorhanden bedeutet: Ein Teil des Supports ist da, z. B. nur MFA/2FA, aber nicht klar passwordless.
Per Plugin vorhanden oder Per Erweiterung vorhanden bedeutet: Die Funktion ist verfuegbar, aber nicht nativ im Kern.
Geplant bedeutet: Es gibt einen konkreten Hinweis, dass WebAuthn/FIDO2/Passkeys kommen sollen, auch wenn es noch nicht verfuegbar ist.
Offen bedeutet: Es gibt eine erkennbare Diskussion, ein Feature-Request oder eine laufende Richtung.
Kein Nachweis bedeutet: In den geprueften offiziellen Quellen habe ich fuer WebAuthn/FIDO2/Passkeys keinen belastbaren Beleg gefunden.
Nein (nur TOTP) bedeutet: Offiziell belegt ist klassische 2FA, aber nicht WebAuthn/FIDO2/Passkeys.
Unklar bedeutet: Im Projekt gibt es eine technische Spur, aber noch keinen sauberen belastbaren Nachweis, wie weit WebAuthn/FIDO2 wirklich getragen wird.
Repo-Spur bedeutet: Im offiziellen Quellcode ist ein deutlicher Auth-/2FA-Hinweis sichtbar, aber die offizielle Doku reicht fuer eine scharfe Einordnung noch nicht aus.
Impl. ist die Kurzform fuer Implementierung.
Off. App und Off. Erw. sind Kurzformen fuer Offizielle App und Offizielle Erweiterung.
* markiert eine quellengestuetzte Inferenz statt einer direkten Produktdokumentation. Aktuell betrifft das Forgejo: Codeberg ist Forgejo-basiert und dokumentiert WebAuthn-2FA; zusaetzlich ist Forgejo ein Hard-Fork von Gitea.
Kein offizieller Nachweis gefunden bedeutet nicht zwingend unmoeglich, sondern nur, dass hier bewusst nichts behauptet wird, was ich nicht sauber belegen konnte.
Ja in Passwordless kann projektabhaengig trotzdem mit weiteren Sicherheitsabfragen kombiniert sein; das ist in den verlinkten Quellen bzw. Issues zu pruefen.
Die Sprachspalte ist eine grobe Einordnung der Hauptsprache des Projekts.

Offene und negative Faelle

MyBB dokumentiert offiziell Two-Factor Authentication mit Authenticator Apps und QR-Code-Setup fuer Administratoren im Admin-CP. Die allgemeine Security-Doku erwaehnt zwar U2F als bevorzugten Faktor-Typ, aber einen belastbaren offiziellen WebAuthn-Nachweis fuer MyBB selbst habe ich weiterhin nicht gefunden: https://docs.mybb.com/1.8/administration/security/2fa/ und https://docs.mybb.com/1.8/administration/security/protection/
phpBB zeigt in den offiziellen Repositories und Erweiterungsquellen fuer mich weiter keinen belastbaren WebAuthn-Nachweis. In der deutschsprachigen Diskussion taucht nur eine Erweiterung mit U2F und OTP auf: https://www.phpbb.de/community/viewtopic.php?t=246177 und https://github.com/phpbb-extensions

Lizenz

Die Inhalte dieses Repos stehen unter Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0).

Lizenztext und Hinweise: LICENSE.md
Die offizielle Creative-Commons-Referenz ist dort ebenfalls verlinkt.

Hinweis: Diese Markdown-Datei wurde mit Unterstuetzung von KI erstellt und anschliessend anhand der verlinkten Quellen strukturiert. Sofern nicht anders angegeben, stehen die Texte und Listen in diesem Repo unter CC BY-SA 4.0. Fehler, veraltete Angaben oder fehlende Projekte bitte per Issue oder Pull Request melden.