La méthode d’authentification par défi-réponse est principalement utilisée pour les mots de passe à usage unique (OTP). Outre les OTP, il est également utilisé dans des protocoles tels que CHAP (Challenge Handshake Authentication Protocol), qui fait partie du PPP (Point-to-Point Protocol), et pour l'authentification des appareils dans les points d'accès Wi-Fi.
Dans cette méthode, le client (l'entité authentifiée) envoie une requête d'authentification au serveur (l'entité effectuant l'authentification) à l'aide d'informations d'identification telles qu'un identifiant utilisateur. Le serveur répond en générant une donnée aléatoire, appelée « challenge », et l'envoie au client. Dans le même temps, le serveur précalcule également la réponse attendue en fonction du mot de passe du client. Le client utilise le défi, ainsi que son mot de passe, pour calculer une valeur hachée (la « réponse ») et la renvoie au serveur. Le serveur compare ensuite la réponse du client avec celle qu’il a générée. Si les deux correspondent, l’authentification est réussie.
Étant donné que le défi généré à chaque fois est aléatoire et que la réponse correspondante est unique, la méthode offre une sécurité renforcée en rendant difficile pour les attaquants de compromettre l’authentification même si l’échange est intercepté. Cependant, si le mot de passe lui-même est volé, accès non autorisé reste un risque.
Pour atténuer ce risque, les mots de passe à usage unique qui utilisent la méthode défi-réponse impliquent souvent des mesures de sécurité supplémentaires. Par exemple, les utilisateurs saisissent d’abord leur identifiant et leur mot de passe, mais le processus de question-réponse se déroule via un canal de communication et un appareil distincts, comme un smartphone. Les méthodes courantes pour transmettre ce défi incluent les SMS, les e-mails ou une application mobile spécialisée. Comme ce processus utilise deux facteurs indépendants, on l'appelle souvent « authentification à deux facteurs » ou « vérification en deux étapes ».
Le gestionnaire de politiques d'accès BIG-IP (APM) de F5 simplifie la mise en œuvre des systèmes OTP de type défi-réponse, ce qui permet aux organisations d'adopter plus facilement cette méthode d'authentification sécurisée.