El protocolo de autenticación de contraseña es una forma de enviar contraseñas a través de una red. Las contraseñas se envían sin cifrar después de que se establece un enlace inicial con la computadora remota. Este protocolo no se considera seguro y se usa solo cuando se conecta a una computadora Unix más antigua que no admite autenticación más segura.

La conexión inicial se realiza mediante un apretón de manos de dos vías. Una vez que se establece el enlace inicial y luego el par ID / contraseña se envía al servidor remoto. La solicitud de autenticación se envía repetidamente desde el cliente hasta que se reconoce o finaliza la solicitud. Para aceptar la contraseña, el servidor remoto debe transmitir un paquete de protocolo de autenticación de contraseña con el código establecido para autenticar-ack. Si no se acepta la contraseña, el servidor remoto debe transmitir un paquete de protocolo de autenticación de contraseña con el código establecido para autenticar-nak y la conexión finaliza.

El protocolo de autenticación de contraseña se considera un método inseguro para transmitir contraseñas. Las contraseñas se envían a través de la red en forma de texto sin formato y se pueden leer fácilmente desde los paquetes de Protocolo punto a punto (PPP). No existen dispositivos de protección para proteger la contraseña del rastreo de contraseña, reproducción o ataques de prueba y error. Además, el cliente está a cargo de la frecuencia y el momento de los intentos de conexión con contraseña.

El protocolo de autenticación de contraseña ha quedado anticuado por protocolos más seguros, como el Protocolo Challenge Handshake (CHAP) y el Protocolo de autenticación extensible (EAP). Los protocolos más seguros utilizan técnicas de cifrado para fines de autenticación. CHAP es utilizado por los servidores PPP. EAP es utilizado tanto por redes inalámbricas como por conexiones punto a punto.

El protocolo Challenge Handshake verifica la identidad del cliente a través de un protocolo de enlace de tres vías y un secreto compartido. Después de establecer el enlace inicial, el servidor remoto envía un mensaje de desafío al cliente. El cliente calcula una función hash unidireccional que combina el desafío y el secreto y envía la función hash de vuelta al servidor.

El servidor verifica el valor contra su propio valor calculado y reconoce la conexión si coincide. Si los valores hash no coinciden, la conexión finaliza. Este procedimiento se repite a intervalos aleatorios mientras el cliente y el servidor están conectados.

El protocolo de autenticación extensible es un marco de autenticación, no un protocolo de autenticación verdadero. EAP solo define el formato del mensaje y proporciona funciones comunes y negociación de métodos de autenticación. Hay una gran cantidad de protocolos EAP definidos tanto por Solicitud de comentarios (RFC) como por proveedores específicos.