El método de autenticación desafío-respuesta se utiliza principalmente para contraseñas de un solo uso (OTP). Además de los OTP, también se utiliza en protocolos como CHAP (Challenge Handshake Authentication Protocol), que es parte del PPP (Point-to-Point Protocol), y para la autenticación de dispositivos en puntos de acceso Wi-Fi.
En este método, el cliente (la entidad que se autentica) envía una solicitud de autenticación al servidor (la entidad que realiza la autenticación) utilizando credenciales como el ID de usuario. El servidor responde generando un dato aleatorio, conocido como "desafío", y lo envía al cliente. Al mismo tiempo, el servidor también precalcula la respuesta esperada en función de la contraseña del cliente. El cliente utiliza el desafío, junto con su contraseña, para calcular un valor hash (la "respuesta") y lo envía de vuelta al servidor. A continuación, el servidor compara la respuesta del cliente con la que generó. Si ambos coinciden, la autenticación es exitosa.
Dado que el desafío generado cada vez es aleatorio y la respuesta correspondiente es única, el método ofrece una seguridad sólida al dificultar que los atacantes comprometan la autenticación incluso si se intercepta el intercambio. Sin embargo, si se roba la contraseña, el acceso no autorizado sigue siendo un riesgo.
Para mitigar este riesgo, las contraseñas de un solo uso que utilizan el método desafío-respuesta a menudo implican medidas de seguridad adicionales. Por ejemplo, los usuarios ingresan primero su ID y contraseña, pero el proceso de desafío-respuesta ocurre a través de un canal de comunicación y un dispositivo separado, como un teléfono inteligente. Los métodos comunes para enviar el desafío incluyen mensajes SMS, correo electrónico o una aplicación especializada para teléfonos inteligentes. Dado que este proceso utiliza dos factores independientes, a menudo se denomina "autenticación de dos factores" o "verificación en dos pasos".
El administrador de políticas de acceso BIG-IP (APM) de F5 simplifica la implementación de sistemas OTP de desafío-respuesta, lo que facilita que las organizaciones adopten este método de autenticación seguro.