チャレンジレスポンス認証方式は、主にワンタイムパスワード (OTP) に使用されます。 OTP 以外にも、PPP (Point-to-Point Protocol) の一部である CHAP (Challenge Handshake Authentication Protocol) などのプロトコルや、Wi-Fi アクセス ポイントでのデバイス認証にも利用されます。
この方法では、クライアント(認証を受ける側)がユーザーIDなどの認証情報を用いてサーバー(認証を実行する側)に認証リクエストを送信します。サーバーはこれに対し、「チャレンジ」と呼ばれるランダムなデータを生成し、クライアントに送信します。 同時に、サーバーはクライアントのパスワードに基づいて予想される応答も事前計算します。 クライアントはチャレンジとパスワードを使用してハッシュ値 (「応答」) を計算し、それをサーバーに送り返します。 次に、サーバーはクライアントの応答と自身が生成した応答を比較します。 両者が一致すれば認証は成功します。
毎回生成されるチャレンジはランダムであり、対応する応答は一意であるため、この方法では、交換が傍受された場合でも攻撃者が認証を侵害することが困難になり、強力なセキュリティが実現されます。 ただし、パスワード自体が盗まれた場合、不正アクセスのリスクは残ります。
このリスクを軽減するために、チャレンジレスポンス方式を使用するワンタイムパスワードでは、多くの場合、追加のセキュリティ対策が講じられます。 たとえば、ユーザーは最初に ID とパスワードを入力しますが、チャレンジ レスポンス プロセスはスマートフォンなどの別の通信チャネルとデバイスを介して実行されます。 チャレンジの一般的な方法としては、SMSメッセージ、メール、専用のスマートフォンアプリなどが挙げられます。このプロセスでは2つの独立した要素を使用するため、「2要素認証」または「2段階認証」と呼ばれることがよくあります。
F5 の BIG-IP アクセス ポリシー マネージャ (APM) は、チャレンジ レスポンス OTP システムの実装を簡素化し、組織がこの安全な認証方法を導入しやすくします。