Protokol otentikasi kata sandi adalah cara mengirim kata sandi melalui jaringan.Kata sandi dikirim tidak terenkripsi setelah tautan awal dibuat dengan komputer jarak jauh.Protokol ini tidak dianggap aman dan hanya digunakan saat menghubungkan ke komputer UNIX yang lebih lama yang tidak mendukung otentikasi yang lebih aman.

Koneksi awal dibuat melalui jabat tangan dua arah.Setelah tautan awal dibuat dan kemudian pasangan ID/Password dikirim ke server jarak jauh.Permintaan otentikasi dikirim berulang kali dari klien sampai permintaan diakui atau diakhiri.Untuk menerima kata sandi, server jarak jauh harus mengirimkan paket protokol otentikasi kata sandi dengan kode yang disetel ke Authenticate-ACK.Jika kata sandi tidak diterima, server jarak jauh harus mengirimkan paket protokol otentikasi kata sandi dengan kode yang disetel untuk mengotentikasi-nak dan koneksi diakhiri.

Protokol otentikasi kata sandi dianggap sebagai metode yang tidak aman untuk mengirimkan kata sandi.Kata sandi dikirimkan di seluruh jaringan dalam bentuk teks biasa dan mudah dibaca dari paket point-to-point Protocol (PPP).Tidak ada perangkat perlindungan untuk mengamankan kata sandi dari sniffing, pemutaran atau serangan coba-coba.Juga, klien bertanggung jawab atas frekuensi dan waktu dari upaya koneksi kata sandi.

Protokol otentikasi kata sandi telah dikalahkan oleh protokol yang lebih aman seperti Protokol Jabat Tantangan (CHAP) dan Extensible Authentication Protocol (EAP).Protokol yang lebih aman menggunakan teknik enkripsi untuk tujuan otentikasi.CHAP digunakan oleh server PPP.EAP digunakan oleh jaringan nirkabel dan koneksi point-to-point.

Protokol jabat tangan tantangan memverifikasi identitas klien melalui jabat tangan tiga arah dan rahasia bersama.Setelah tautan awal dibuat, server jarak jauh mengirimkan pesan tantangan ke klien.Klien menghitung fungsi hash satu arah yang menggabungkan tantangan dan rahasia dan mengirimkan fungsi hash kembali ke server.

Server memeriksa nilai terhadap nilai yang dihitung sendiri dan mengakui koneksi jika cocok.Jika nilai hash tidak cocok, koneksi diakhiri.Prosedur ini diulangi secara acak saat klien dan server terhubung.

Protokol otentikasi yang dapat diperluas adalah kerangka kerja otentikasi, bukan protokol otentikasi yang benar.EAP hanya mendefinisikan format pesan dan menyediakan fungsi umum dan negosiasi metode otentikasi.Ada sejumlah besar protokol EAP yang ditentukan oleh kedua permintaan untuk komentar (RFC) dan oleh vendor tertentu.