Ganz plumpes Beispiel:
Ich möchte mit Person A reden, die ich noch nie getroffen habe.
Ich treffe nun eine Person, von der ich nicht weiß wer sie ist.
Reicht es nun, dass die Person mir das Geburtsdatum der Person A nennt, damit ich weiß, dass es Person A ist?
Nein!
Ich weiß aber, dass die Person A eine Lieblingszahl hat. Die konkrete Zahl kenne ich nicht aber ich weiß, dass in dieser Zahl 2 mal die Ziffer 4 und 3 mal die Ziffer 3 auftaucht.
Ich frage also die Person die vor mir steht:
Wie oft kommen die Ziffern 4 und 3 in deiner Lieblingszahl Zahl vor?
Antwortet die Person, die vor mir steht korrekt, bin ich mir (fast, bis auf Zufall) sicher, dass diese Person die Person A ist, mit der ich reden will.
Kurz:
Es reicht nicht, dass nur "irgendeine" Information stimmt. Es müssen alle Informationen, die ich überprüfen kann/möchte passen.
Tipp:
Stell dir die Frage: Bis wohin kann ich als Angreifer diesen Handshake erfolgreich faken, sodass keine Überprüfung des Clients scheitert.
Grüße
Max