质询-响应身份验证方法主要用于一次性密码 (OTP)。 除了 OTP 之外,它还用于 CHAP(挑战握手认证协议)等协议,它是 PPP(点对点协议)的一部分,并用于 Wi-Fi 接入点中的设备认证。
在此方法中,客户端(被认证的实体)使用用户 ID 等凭证向服务器(执行认证的实体)发送认证请求。服务器会生成一段随机数据(称为“挑战”)作为响应,并将其发送给客户端。 同时,服务器还会根据客户端的密码预先计算预期的响应。 客户端使用该质询及其密码来计算散列值(“响应”)并将其发送回服务器。 然后,服务器将客户端的响应与它生成的响应进行比较。 如果两者匹配,则认证成功。
由于每次生成的挑战都是随机的,并且相应的响应是唯一的,因此即使交换被拦截,攻击者也很难破坏身份验证,因此该方法提供了强大的安全性。 然而,如果密码本身被盗,未授权访问仍然存在风险。
为了降低这种风险,使用质询-响应方法的一次性密码通常会涉及额外的安全措施。 例如,用户首先输入他们的 ID 和密码,但质询-响应过程通过单独的通信渠道和设备(例如智能手机)进行。 常见的验证方式包括短信、电子邮件或专门的智能手机应用程序。由于此过程使用两个独立的因素,因此通常被称为“双因素身份验证”或“两步验证”。
F5 的 BIG-IP 访问策略管理器 (APM)简化了质询响应 OTP 系统的实施,使组织更容易采用这种安全的身份验证方法。