Die Challenge-Response-Authentifizierungsmethode wird hauptsächlich für Einmalkennwörter (OTPs) verwendet. Neben OTPs wird es auch in Protokollen wie CHAP (Challenge Handshake Authentication Protocol), das Teil des PPP (Point-to-Point Protocol) ist, und zur Geräteauthentifizierung in WLAN-Zugangspunkten verwendet.
Bei dieser Methode sendet der Client (die zu authentifizierende Entität) eine Authentifizierungsanfrage an den Server (die Entität, die die Authentifizierung durchführt) und verwendet dabei Anmeldeinformationen wie eine Benutzer-ID. Der Server antwortet, indem er ein zufälliges Datenelement, eine sogenannte „Challenge“, generiert und an den Client sendet. Gleichzeitig berechnet der Server auch die erwartete Antwort basierend auf dem Passwort des Clients. Der Client berechnet aus der Challenge zusammen mit seinem Passwort einen Hashwert (die „Antwort“) und sendet ihn an den Server zurück. Der Server vergleicht dann die Antwort des Clients mit der von ihm generierten Antwort. Stimmen beide überein, war die Authentifizierung erfolgreich.
Da die jedes Mal generierte Herausforderung zufällig und die entsprechende Antwort eindeutig ist, bietet die Methode hohe Sicherheit, da sie es Angreifern erschwert, die Authentifizierung zu kompromittieren, selbst wenn der Austausch abgefangen wird. Wenn jedoch das Passwort selbst gestohlen wird, besteht weiterhin das Risiko eines unberechtigter Zugriff .
Um dieses Risiko zu mindern, sind bei Einmalkennwörtern, die das Challenge-Response-Verfahren verwenden, oft zusätzliche Sicherheitsmaßnahmen erforderlich. Beispielsweise geben Benutzer zuerst ihre ID und ihr Passwort ein, der Challenge-Response-Prozess erfolgt jedoch über einen separaten Kommunikationskanal und ein separates Gerät, beispielsweise ein Smartphone. Gängige Methoden zur Übermittlung der Challenge sind SMS, E-Mail oder eine spezielle Smartphone-App. Da dieser Prozess zwei unabhängige Faktoren nutzt, wird er oft als „Zwei-Faktor-Authentifizierung“ oder „Zwei-Schritt-Verifizierung“ bezeichnet.
Der BIG-IP Access Policy Manager (APM) von F5 vereinfacht die Implementierung von Challenge-Response-OTP-Systemen und erleichtert Unternehmen die Einführung dieser sicheren Authentifizierungsmethode.