El objetivo del atacante es adivinar la contraseña. Al observar el mensaje de autenticación, el atacante ya aprende lo suficiente como para "probar" las contraseñas en casa (es decir, un "ataque de diccionario sin conexión"), pero eso no es de lo que RFC 2617 está hablando en ese momento. Más bien, se concentra en la idea de un atacante que se hace pasar por el servidor y, por lo tanto, alimenta los "servidores" de su elección al cliente. El cliente responde a tal nonce mediante el hashing de nonce del servidor, del nonce del cliente y de la contraseña juntos (omito voluntariamente los detalles aquí). El atacante puede entonces tratar de explotar alguna debilidad interna de la función hash para volver a calcular la contraseña de lo que el cliente envió. Lo que el RFC 2617 intenta decir es que omitir el nonce cliente solo puede facilitar las cosas para el atacante (al menos probablemente no más difícil, y heurísticamente más fácil) - como corolario, usar un nonce puede ayuda para proteger al cliente en caso de que la función hash sea inestable; un cliente no hará ningún daño adicional.
Ahora no se conoce ninguna debilidad explotable de MD5, cuando se usa en la autenticación de acceso implícito como se describe en RFC 2617. A pesar de que MD5 ha mostrado una gran descamación con respecto a la resistencia a la colisión, que es otra propiedad de seguridad distinta La función debería tener (y que MD5 no tiene). Así que la protección ofrecida aquí por el cliente es solo hipotética. Pero, como dije, tampoco hace daño.