Protokol otentikasi kata sandi adalah cara mengirim kata sandi melalui jaringan. Kata sandi dikirim tidak terenkripsi setelah tautan awal dibuat dengan komputer jarak jauh. Protokol ini tidak dianggap aman dan hanya digunakan saat menyambungkan ke komputer Unix lama yang tidak mendukung autentikasi yang lebih aman.
Koneksi awal dilakukan melalui jabat tangan dua arah. Setelah tautan awal dibuat dan kemudian pasangan ID/sandi dikirim ke server jauh. Permintaan otentikasi dikirim berulang kali dari klien sampai permintaan diakui atau dihentikan. Untuk menerima kata sandi, server jauh harus mengirimkan paket protokol otentikasi kata sandi dengan kode yang diatur ke otentikasi-ack. Jika kata sandi tidak diterima, server jauh harus mengirimkan paket protokol otentikasi kata sandi dengan kode yang disetel ke otentikasi-nak dan koneksi diakhiri.
Protokol otentikasi kata sandi dianggap sebagai metode transmisi kata sandi yang tidak aman. Kata sandi dikirim melalui jaringan dalam bentuk teks biasa dan mudah dibaca dari paket Point-to-Point Protocol (PPP). Tidak ada perangkat perlindungan untuk mengamankan kata sandi dari sniffing kata sandi, pemutaran ulang, atau serangan coba-coba. Selain itu, klien bertanggung jawab atas frekuensi dan waktu upaya koneksi kata sandi.
Protokol otentikasi kata sandi telah ketinggalan zaman oleh protokol yang lebih aman seperti Challenge Handshake Protocol (CHAP) dan Extensible Authentication Protocol (EAP). Protokol yang lebih aman menggunakan teknik enkripsi untuk tujuan otentikasi. CHAP digunakan oleh server PPP. EAP digunakan oleh jaringan nirkabel dan koneksi point-to-point.
Challenge Handshake Protocol memverifikasi identitas klien melalui jabat tangan tiga arah dan rahasia bersama. Setelah tautan awal dibuat, server jauh mengirimkan pesan tantangan ke klien. Klien menghitung fungsi hash satu arah yang menggabungkan tantangan dan rahasia dan mengirimkan fungsi hash kembali ke server.
Server memeriksa nilai terhadap nilai yang dihitungnya sendiri dan mengakui koneksi jika cocok. Jika nilai hash tidak cocok, koneksi dihentikan. Prosedur ini diulang pada interval acak saat klien dan server terhubung.
Extensible Authentication Protocol adalah kerangka kerja otentikasi, bukan protokol otentikasi yang sebenarnya. EAP hanya mendefinisikan format pesan dan menyediakan fungsi umum dan negosiasi metode otentikasi. Ada sejumlah besar protokol EAP yang ditentukan oleh Request for Comments (RFC) dan oleh vendor tertentu.