Il protocollo di autenticazione password è un modo per inviare password su una rete.Le password vengono inviate non crittografate dopo che un collegamento iniziale è stato effettuato con il computer remoto.Questo protocollo non è considerato sicuro e viene utilizzato solo quando si collega a un vecchio computer UNIX che non supporta un'autenticazione più sicura.

La connessione iniziale viene effettuata tramite una stretta di mano a due vie.Una volta stabilito il collegamento iniziale, quindi la coppia ID/password viene inviata al server remoto.La richiesta di autenticazione viene inviata ripetutamente dal client fino a quando la richiesta non viene riconosciuta o terminata.Per accettare la password, il server remoto deve trasmettere un pacchetto protocollo di autenticazione della password con il codice impostato su Autenticate-Ack.Se la password non è accettata, il server remoto deve trasmettere un pacchetto protocollo di autenticazione della password con il codice impostato su Authentication-Nak e la connessione viene terminata.

Il protocollo di autenticazione password è considerato un metodo insicuro di trasmissione di password.Le password vengono inviate attraverso la rete in forma di testo semplice e sono facilmente leggibili dai pacchetti PPP Point-to-Point (PPP).Non ci sono dispositivi di protezione in atto per proteggere la password dagli attacchi di annusamento, riproduzione o tentativi e errori.Inoltre, il client è responsabile della frequenza e dei tempi dei tentativi di connessione password.

Il protocollo di autenticazione password è stato superato da protocolli più sicuri come il protocollo di Handshake Challenge (CAP) e il protocollo di autenticazione estesibile (EAP).I protocolli più sicuri utilizzano tecniche di crittografia a fini di autenticazione.CAP è usato dai server PPP.EAP è utilizzato da entrambe le reti wireless e connessioni da punto a punto.

Il protocollo di Handshake Challenge verifica l'identità del cliente tramite una stretta di mano a tre e un segreto condiviso.Dopo aver stabilito il collegamento iniziale, il server remoto invia un messaggio di sfida al client.Il client calcola una funzione hash a senso unico che combina la sfida e il segreto e invia la funzione hash al server.

Il server controlla il valore rispetto al proprio valore calcolato e riconosce la connessione se corrisponde.Se i valori di hash non corrispondono, la connessione viene terminata.Questa procedura viene ripetuta a intervalli casuali mentre il client e il server sono connessi.

Il protocollo di autenticazione estensibile è un framework di autenticazione, non un vero protocollo di autenticazione.EAP definisce solo il formato del messaggio e fornisce funzioni comuni e negoziazione dei metodi di autenticazione.Esistono un gran numero di protocolli EAP definiti da entrambi i commenti (RFC) sia da fornitori specifici.