Protokół uwierzytelniania hasła to sposób na wysyłanie haseł przez sieć. Hasła są wysyłane w postaci niezaszyfrowanej po nawiązaniu początkowego połączenia z komputerem zdalnym. Ten protokół nie jest uważany za bezpieczny i jest używany tylko podczas łączenia się ze starszym komputerem z systemem Unix, który nie obsługuje bezpieczniejszego uwierzytelniania.
Początkowe połączenie jest nawiązywane przez dwukierunkowy uścisk dłoni. Po ustanowieniu początkowego łącza para identyfikator/hasło jest wysyłana do zdalnego serwera. Żądanie uwierzytelnienia jest wysyłane wielokrotnie od klienta, dopóki żądanie nie zostanie potwierdzone lub zakończone. Aby zaakceptować hasło, zdalny serwer musi przesłać pakiet protokołu uwierzytelniania hasła z kodem ustawionym na uwierzytelnianie-potwierdzenie. Jeśli hasło nie zostanie zaakceptowane, zdalny serwer musi przesłać pakiet protokołu uwierzytelniania hasła z kodem ustawionym na uwierzytelnianie-nak i połączenie zostanie zakończone.
Protokół uwierzytelniania hasła jest uważany za niezabezpieczoną metodę przesyłania haseł. Hasła są przesyłane przez sieć w postaci zwykłego tekstu i można je łatwo odczytać z pakietów protokołu Point-to-Point (PPP). Nie ma żadnych urządzeń zabezpieczających hasło przed podsłuchiwaniem hasła, odtwarzaniem lub atakami metodą prób i błędów. Ponadto klient jest odpowiedzialny za częstotliwość i czas prób połączenia hasła.
Protokół uwierzytelniania hasła został przestarzały przez bezpieczniejsze protokoły, takie jak Challenge Handshake Protocol (CHAP) i Extensible Authentication Protocol (EAP). Bezpieczniejsze protokoły wykorzystują techniki szyfrowania do celów uwierzytelniania. CHAP jest używany przez serwery PPP. Protokół EAP jest używany zarówno przez sieci bezprzewodowe, jak i połączenia punkt-punkt.
Protokół Challenge Handshake weryfikuje tożsamość klienta za pomocą trójetapowego uzgadniania i wspólnego sekretu. Po ustanowieniu początkowego łącza serwer zdalny wysyła do klienta komunikat wezwania. Klient oblicza jednokierunkową funkcję mieszającą, która łączy wyzwanie i klucz tajny, a następnie wysyła funkcję mieszającą z powrotem do serwera.
Serwer porównuje wartość z własną obliczoną wartością i potwierdza połączenie, jeśli jest zgodne. Jeśli wartości skrótu nie są zgodne, połączenie jest przerywane. Ta procedura jest powtarzana w losowych odstępach czasu, gdy klient i serwer są połączone.
Extensible Authentication Protocol to struktura uwierzytelniania, a nie prawdziwy protokół uwierzytelniania. EAP definiuje tylko format wiadomości i zapewnia wspólne funkcje oraz negocjowanie metod uwierzytelniania. Istnieje wiele protokołów EAP zdefiniowanych zarówno w dokumentach RFC, jak i przez określonych dostawców.