M. W. geht deshalb kein Kennwort über die Leitung, weil ein Challenge-Response-Verfahren verwendet wird. Der Web-Server schickt einen Zufallswert (Challenge) an den Client und den Domain-Controller (Active Directory), die ja beide Kenntnis vom Passwort haben. Beide erzeugen mit dem Passwort und der Challenge einen Hash-Wert (Response) und schicken das an den Web-Server zurück. Stimmen beide Responses überein, gilt der Benutzer als authentifiziert.