O protocolo de autenticação de senha é uma maneira de enviar senhas pela rede. As senhas são enviadas sem criptografia após a criação de um link inicial com o computador remoto. Este protocolo não é considerado seguro e é usado apenas ao conectar-se a um computador Unix mais antigo que não suporta autenticação mais segura.

A conexão inicial é feita através de um aperto de mão bidirecional. Depois que o link inicial é estabelecido e o par de ID / senha é enviado ao servidor remoto. A solicitação de autenticação é enviada repetidamente do cliente até que a solicitação seja confirmada ou encerrada. Para aceitar a senha, o servidor remoto deve transmitir um pacote de protocolo de autenticação de senha com o código definido como authenticate-ack. Se a senha não for aceita, o servidor remoto deverá transmitir um pacote de protocolo de autenticação de senha com o código definido como authenticate-nak e a conexão será encerrada.

O protocolo de autenticação de senha é considerado um método inseguro de transmissão de senhas. As senhas são enviadas pela rede em formato de texto sem formatação e são facilmente legíveis a partir dos pacotes de protocolo ponto a ponto (PPP). Não existem dispositivos de proteção para proteger a senha contra sniffing, reprodução ou ataques de tentativa e erro de senha. Além disso, o cliente é responsável pela frequência e tempo das tentativas de conexão com senha.

O protocolo de autenticação de senha foi ultrapassado por protocolos mais seguros, como o Challenge Handshake Protocol (CHAP) e o Extensible Authentication Protocol (EAP). Os protocolos mais seguros usam técnicas de criptografia para fins de autenticação. O CHAP é usado pelos servidores PPP. O EAP é usado pelas redes sem fio e pelas conexões ponto a ponto.

O Challenge Handshake Protocol verifica a identidade do cliente por meio de um handshake de três vias e um segredo compartilhado. Depois que o link inicial é estabelecido, o servidor remoto envia uma mensagem de desafio ao cliente. O cliente calcula uma função hash unidirecional que combina o desafio e o segredo e envia a função hash de volta ao servidor.

O servidor verifica o valor em relação ao seu próprio valor calculado e reconhece a conexão, se corresponder. Se os valores de hash não corresponderem, a conexão será encerrada. Este procedimento é repetido em intervalos aleatórios enquanto o cliente e o servidor estão conectados.

O Protocolo de autenticação extensível é uma estrutura de autenticação, não um protocolo de autenticação verdadeiro. O EAP define apenas o formato da mensagem e fornece funções comuns e negociação de métodos de autenticação. Há um grande número de protocolos EAP definidos por solicitação de comentários (RFCs) e por fornecedores específicos.