No soy un
expero, pero aunque no esta la contraseña, esta todo
lo que
necesitas saber... o eso creo.
La contraseña efectivamente no va ahi, pero no es tan sencillo el
asunto.
(Espero ser lo menos impreciso posible, aunque se aceptaran todas
las correcciones de los RFC readers que hay por aquí :P)
En el mecanismo de desafió/respuesta, lo que el Registar envía al
UA es un desafió que incluye entre otras cosas una marca de tiempo
para que el desafió tenga un periodo de caducidad, el UA al recibir
ese reto une su contraseña a ese reto y la "hashea"normalmente con
MD5 (el cual tiene colisiones, al igual que todos los mecanismos de
HASH) y eso conforma la respuesta al reto que es o que sera enviado
(con lo cual, la contraseña nunca viaja a través de la red, en un
mecanismo de registro o en un invite). En todo caso, ese hash
(respuesta) llega al registar y es el que conociendo el reto y la
contraseña aplica el mismo mecanismo que el cliente para crear la
respuesta y si su respuesta y la del cliente coinciden es entonces
cuando tomo la autenticación como correcta.