Простейший способ такой аутентификации (при хранении паролей в открытом виде):
Клиент, желающий пройти аутентификацию, дает запрос на начало сеанса связи, в ответ на это вызываемая сторона (сервер) посылает произвольную, но всякий раз разную информацию (например, текущие дату и время) клиенту.
Клиент дописывает к полученному запросу пароль и от этой строки вычисляет какой-либо хеш (например, MD5) и отправляет его серверу.
Сервер проделывает с посланным значением аналогичные действия и сравнивает результат.
Если значения хешей совпадают, то аутентификация считается успешной.