チャレンジ・レスポンス認証は、「利用者が入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算し、その結果を認証用データに用いる(H21SC秋午前Ⅱ問2)」方式です。
ネットワーク上を流れるレスポンスが毎回変わるので、リプレイアタックにも強い仕組みです。
パスワードが暗号化されるとともに、ワンタイムパスワードの役割も有する。また、ユーザ名とパスワード以外に必要な情報もない。つまり、事前に秘密鍵を共有したり証明書を準備する必要ない。よく考えられた認証方式だと思います。
情報セキュリティスペシャリスト試験を目指す女性SE 

なぜチャレンジレスポンス認証が必要なのか、
あまりよく分かりません。
ネットワークを介してパスワードを送信する場合、第三者による盗聴の恐れがあります。最近のWebシステムのように、SSL/TLSで暗号化されていれば安全ですが、そうでない場合もあります。そこで、無線LANのWEP方式やSMTP-AUTH、APOP、IMAPなどでは、チャレンジ・レスポンス認証という技術を利用しています。

利用者は毎回異なるパスワード(下図でいう”レスポンス”)をサーバに送ることになります。仮に第三者にこのパスワード(レスポンス)を盗聴されたとしても、パスワード(レスポンス)は1回限りのものですから、不正利用される心配がありません。

チャレンジ・レスポンス認証の、具体的な流れは以下です。
①利用者は、ユーザIDを送信する
②サーバは、チャレンジ(乱数)を生成する
③作成したチャレンジを利用者に送信する
④利用者は、チャレンジと保有するパスワードからレスポンスを作成する(※ハッシュ演算により暗号化している)
⑤サーバに対し、レスポンスを送信する
⑥サーバは、受け取ったレスポンスと自ら作成したレスポンスを比較する。両者が一致すれば、正規の利用者とみなされ、認証が成功する。
チャレンジレスポンス認証_情報セキュリティスペシャリスト試験