Действительно защищенной от перехвата при прослушивании является схема "запрос-ответ" (англ, challenge handshake). Она основана на том, что клиент подтверждает серверу знание парольной информации, не раскрывая ее. Традиционная методика схемы "запрос-ответ" выглядит следующим образом:
- Сервер генерирует случайное или псевдослучайное число (challenge) (оно должно отвечать только одному требованию — уникальности, т. е. неповторяемости с течением времени) и высылает его клиенту.
- Клиент производит какое-либо однонаправленное криптопреобразование (блочное шифрование или хэширование) над парольной фразой и присланным запросом и высылает результат серверу.
- Сервер производит независимо от клиента такие же преобразования и сверяет получившийся у него результат с присланным ответом клиента.
Технология "запрос-ответ" надежно защищает абонентов от злоумышленников, имеющих возможность прослушивать канал. Информацию о пароле в открытом виде извлечь они не могут из-за необратимости примененного преобразования, а позднее использовать перехваченный ответ клиента для аутентификации не получится из-за того, что сервер каждый раз генерирует новый вектор запроса. Технические аспекты протоколов аутентификации, использующих эту схему, описаны в разделе "протоколы сетевой безопасности".
Характер передаваемой информации в схеме "запрос-ответ" позволяет реализовать очень простые и, как следствие, доступные по цене программно-аппаратные комплексы аутентификации. Не превышающие по размерам зажигалки или брелока, они подключаются к одному из портов ввода-вывода компьютера и позволяют аутентифицировать своего владельца без раскрытия какой-либо информации о записанном секретном ключе. При этом даже при наличии на ЭВМ троянской программы скомпрометированы будут только те данные, которые передавались в данный сеанс с данной ЭВМ но не сам ключ аутентификации клиента.