Protocolul de autentificare a parolei este o modalitate de a trimite parole printr-o rețea. Parolele sunt trimise necriptate după ce se realizează o legătură inițială cu computerul de la distanță. Acest protocol nu este considerat sigur și este utilizat numai la conectarea la un computer Unix mai vechi care nu acceptă o autentificare mai sigură.
Conexiunea inițială se realizează printr-o strângere de mână în două sensuri. Odată ce legătura inițială este stabilită și apoi perechea ID/parolă este trimisă la serverul de la distanță. Solicitarea de autentificare este trimisă în mod repetat de la client până când cererea este confirmată sau terminată. Pentru a accepta parola, serverul de la distanță trebuie să transmită un pachet de protocol de autentificare a parolei cu codul setat la authenticate-ack. Dacă parola nu este acceptată, serverul de la distanță trebuie să transmită un pachet de protocol de autentificare cu parolă cu codul setat la authenticate-nak și conexiunea este încheiată.
Protocolul de autentificare a parolelor este considerat o metodă nesigură de transmitere a parolelor. Parolele sunt trimise în rețea sub formă de text simplu și sunt ușor de citit din pachetele Point-to-Point Protocol (PPP). Nu există dispozitive de protecție care să securizeze parola de sniffing, redare sau atacuri de încercare și eroare. De asemenea, clientul este responsabil de frecvența și momentul încercărilor de conectare prin parolă.
Protocolul de autentificare prin parolă a fost demodat de protocoale mai sigure, cum ar fi Protocolul Challenge Handshake (CHAP) și Protocolul de autentificare extensibilă (EAP). Protocoalele mai sigure folosesc tehnici de criptare în scopuri de autentificare. CHAP este folosit de serverele PPP. EAP este utilizat atât de rețelele fără fir, cât și de conexiunile punct la punct.
Protocolul Challenge Handshake verifică identitatea clientului printr-o strângere de mână în trei căi și un secret partajat. După ce legătura inițială este stabilită, serverul la distanță trimite un mesaj de provocare către client. Clientul calculează o funcție hash unidirecțională care combină provocarea și secretul și trimite funcția hash înapoi la server.
Serverul verifică valoarea față de propria sa valoare calculată și confirmă conexiunea dacă se potrivește. Dacă valorile hash nu se potrivesc, conexiunea este întreruptă. Această procedură se repetă la intervale aleatorii în timp ce clientul și serverul sunt conectate.
Protocolul de autentificare extensibil este un cadru de autentificare, nu un protocol de autentificare adevărat. EAP definește doar formatul mesajului și oferă funcții comune și negocierea metodelor de autentificare. Există un număr mare de protocoale EAP definite atât de Request for Comments (RFC) cât și de anumiți furnizori.