「パッシブ」および「アクティブ」認証の定義は？

アクティブ認証：WS-Trustプロトコルを介してユーザーを認証します。返信側（RP）はログインウィンドウを所有し、セキュリティトークンサービス（STS）にセキュリティトークンを要求します。ここでは、ユーザーはフローを使用してログインします。アクティブ認証の例には、モバイルデバイスが含まれ、そのデバイスの一部であるセンサーに基づいてユーザーのIDを継続的に検証します。この詳細については スタイロメトリー、アプリケーションの使用、Webブラウジング、GPSの位置情報によるモバイルデバイスでのアクティブ認証

パッシブ認証：RPにはログインロジックがありません。ユーザーはSTSのログインページに移動します。ログイン後、STSはユーザーをURLにリダイレクトし、STSを信頼するそのサイトで認証されます。パッシブ認証の例には、ユーザーが「アイデンティティプロバイダーによって表示され、ユーザーがログインするように要求されているWebフォーム」からサインインすることが含まれます。アクティブおよびパッシブ認証の詳細については このドキュメント を参照してください。

これらの用語は十分に確立されているとは思いませんが、概念はほとんど取るに足らないものです。そのため、文献でこれについて何かを見つけるのは困難です。静的認証とも呼ばれるパッシブ認証は、HTTP基本認証と同様に、交換の一部としてクライアントが共有シークレットを転送する認証方法であると思います。一方、アクティブ認証は、HTTPダイジェスト認証と同様のチャレンジ/レスポンスメカニズムを使用します。共有シークレット（パスワード）がネットワーク上に表示されることはないため、アクティブ認証はセキュリティの観点から明らかに優れています。さらに、認証データはチャレンジに依存するため（ノンス）、再生できません。ただし、プロトコルに追加のラウンドが導入されるため、常に望ましいとは限りません。