El modelo de desafío-respuesta está diseñado principalmente para ayudar a prevenir los ataques de repetición , en los que un atacante busca un paquete de autenticación. y luego lo reproduce dentro de su propia sesión para obtener acceso no autorizado.
Como notó, un token aleatorio controlado por el servidor (llamado "nonce del servidor" en la mayoría de los protocolos) que debe estar firmado para autenticarlo hace que sea casi infinitamente improbable que un atacante pueda reproducir un paquete de autenticación para obtener acceso.
Sin embargo, un beneficio adicional es que el esquema forma una especie de prueba de contraseña de conocimiento cero , en la que el conocimiento de un secreto puede probarse en el servidor, sin necesidad de transferir el secreto real a través de la red. Esto significa que un intruso de la red debe romper el esquema de desafío-respuesta (por ejemplo, mediante un ataque de fuerza bruta) para descubrir el secreto.
Thomas Pornin proporcionó un excelente resumen de los nonces del servidor y del cliente en otra pregunta , que lo resume mucho más claramente de lo que podría esperar.