En un articulo sobre protocolo VoIp he leido sobre un "metodo de autentificacion resumido", la cosa dice asi:

.... y envi­a una demanda al cliente para que se identifique a traves de autenticacion resumida. 
En la linea que empieza por WWW-Authenticate se envi­a el valor nonce, que debe ser aleatorio.
 
El cliente se identifica, envi­a un mensaje WWW-Authenticate. Contiene su nombre de usuario, 
el entorno, y el valor nonce que ha enviado el servidor. 

Lo mas importante es el valor de la respuesta. Usualmente, se trata de un hash MD5 construido 
sobre los valores de nombre de usuario clave de acceso, el codigo nonce, el metodo HTTP y el URI 
solicitado.
 
El mensaje es procesado por un servidor que construye otro hash MD5, que consiste de los mismos parametros. 
Si ambos hashes son iguales, la identificacion es correcta .... el hash tiene dos caracteri­sticas que 
evitan la autenticacion falsa o la reutilizacion de un hash captado anteriormente:

Solo es valido para el valor nonce generado aleatoriamente, y contiene el nombre del usuario y
su clave de acceso como valores. Estos mecanismos hacen imposible que el atacante consiga 
descifrar la clave de acceso en un periodo de tiempo razonable...

Curiosa manera de no mandar la contraseña por la red.