Protokol pro ověření hesla je způsob odesílání hesel přes síť. Hesla jsou odesílána nezašifrovaná po vytvoření počátečního propojení se vzdáleným počítačem. Tento protokol se nepovažuje za bezpečný a používá se pouze při připojení ke staršímu počítači Unix, který nepodporuje bezpečnější ověřování.
Počáteční připojení je provedeno obousměrným handshake. Po navázání počátečního spojení a odeslání dvojice ID / heslo na vzdálený server. Požadavek na autentizaci je odesílán opakovaně od klienta, dokud není požadavek potvrzen nebo ukončen. Aby přijal heslo, musí vzdálený server vyslat paket protokolu autentizace heslem s kódem nastaveným na autentizaci ack. Pokud není heslo přijato, musí vzdálený server vyslat paket protokolu autentizace heslem s kódem nastaveným na autentizaci nak a připojení je ukončeno.
Protokol ověření hesla je považován za nezabezpečenou metodu přenosu hesel. Hesla jsou odesílána přes síť ve formě prostého textu a jsou snadno čitelná z paketů protokolu PPP (Point-to-Point Protocol). Nejsou k dispozici žádná ochranná zařízení pro zabezpečení hesla před čicháním heslem, přehráváním nebo útoky typu pokus-omyl. Klient také odpovídá za frekvenci a načasování pokusů o připojení hesla.
Protokol pro ověřování hesla byl zastaralý pomocí bezpečnějších protokolů, jako je protokol Challenge Handshake Protocol (CHAP) a Extensible Authentication Protocol (EAP). Bezpečnější protokoly používají pro účely autentizace šifrovací techniky. CHAP je používán PPP servery. Protokol EAP používají bezdrátové sítě i připojení point-to-point.
Protokol Challenge Handshake ověřuje identitu klienta pomocí třícestného handshake a sdíleného tajemství. Po navázání počátečního spojení odešle vzdálený server klientovi výzvu. Klient vypočítá jednosměrnou hashovací funkci, která kombinuje výzvu a tajemství a odešle hashovací funkci zpět na server.
Server zkontroluje hodnotu na základě své vlastní vypočítané hodnoty a potvrdí spojení, pokud se shoduje. Pokud hodnoty hash neodpovídají, je připojení ukončeno. Tento postup se opakuje v náhodných intervalech, zatímco jsou klient a server připojeni.
Protokol Extensible Authentication Protocol je ověřovací rámec, nikoli skutečný ověřovací protokol. EAP definuje pouze formát zprávy a poskytuje běžné funkce a vyjednávání metod autentizace. Existuje velké množství protokolů EAP definovaných jak žádostmi o připomínky (RFC), tak konkrétními prodejci.
