「利用者が入力したパスワードと、サーバから送られたランダムなデータとをクライアント側で演算し、その結果を認証用データに用いる(H21SC秋午前Ⅱ問2)」方式は何か。
 この方式だと、ネットワーク上を流れるレスポンスが毎回変わるので、リプレイアタックにも強い。正解は、チャレンジ・レスポンス方式である。
 チャレンジ・レスポンス認証は、CHAPや無線LANのWEP方式などで利用される。よく考えられた認証方式だと思う。
パスワードが暗号化されるとともに、ワンタイムパスワードの役割も有する。また、ユーザ名とパスワード以外に必要な情報もない。つまり、事前に秘密鍵を共有したり証明書を準備する必要ない。

チャレンジ・レスポンス認証の、具体的な流れは以下です。
①利用者は、ユーザIDを送信する
②サーバは、チャレンジ(乱数)を生成する
③作成したチャレンジを利用者に送信する
④利用者は、チャレンジと保有するパスワードからレスポンスを作成する(※ハッシュ演算により暗号化している)
⑤サーバに対し、レスポンスを送信する
⑥サーバは、受け取ったレスポンスと自ら作成したレスポンスを比較する。両者が一致すれば、正規の利用者とみなされ、認証が成功する。
チャレンジレスポンス認証_情報セキュリティスペシャリスト試験
情報セキュリティスペシャリスト試験を目指す女性SE

たしかチャレンジレスポンス方式って古くからありますよね。
今はCHAPもあまり聞かないし、公開鍵を使ったものが多いし・・・
もう使われていないのでは?
そんなことはない。よくできた仕組みだからね。
SMTP-AUTHやAPOP、IMAPなどでも利用されているよ。