Hier werden alle Schritte beschrieben, wie der Client die Challenge beantwortet (und was der Server dann macht, um sie zu prüfen):

https://blogs.msdn.microsoft.com/chi...-how-it-works/

Clientseitig ist der Schritt 5 wichtig:

"The client encrypts this challenge with the hash of the user's password and returns the result to the server. This is called the response."