Asymmetrische sleutels
In plaats van zowel de gebruiker als de dienst een code te laten genereren en de resultaten te vergelijken, kan een dienst de computer van de gebruiker ook een taak (challenge) geven die alleen de betreffende machine kan oplossen (challenge-response-authenticatie). Daar worden asymmetrische versleutelingsmethoden als RSA of DSA op basis van ElGamal of elliptische krommen voor gebruikt.
De dienst stuurt de challenge in de vorm van een uniek bericht naar de pc van de gebruiker. Die genereert met zijn geheime sleutel een passende handtekening en stuurt deze terug. De dienst controleert met de openbare sleutel van de gebruiker of de handtekening correct is. De challenge ziet er altijd net iets anders uit om te voorkomen dat hackers een 'replay attack' kunnen uitvoeren door een eerder gebruikt correct antwoord opnieuw te versturen.
In principe kan deze methode worden toegepast door PGP-sleutels als tweede factor te gebruiken bij het inloggen op websites. Buiten het Darknet komt dat echter niet veel voor omdat daarbij meestal GnuPG moet worden gebruikt via de commandline. De methode wordt wel veel gebruikt bij SSH, waarbij de ssh-agent het volledige proces automatisch afhandelt. Veel systeembeheerders laten het wachtwoord daarbij zelfs helemaal weg en gebruiken de sleutel als enige factor om in te loggen. Het nadeel van de challenge-responsemethode met asymmetrische sleutels is dat de geheime sleutels normaal gesproken als bestand op de harde schijf staan, waar een trojan misbruik van kan maken.