Salasanatodennusprotokolla on tapa lähettää salasanoja verkon kautta. Salasanat lähetetään salaamattomina, kun ensimmäinen linkki on muodostettu etätietokoneella. Tätä protokollaa ei pidetä turvallisena, ja sitä käytetään vain yhdistettäessä vanhempaan Unix -tietokoneeseen, joka ei tue turvallisempaa todennusta.
Ensimmäinen liitäntä tehdään kaksisuuntaisen kättelyn avulla. Kun alkuperäinen linkki on muodostettu ja ID/salasana -pari lähetetään etäpalvelimelle. Todennuspyyntö lähetetään asiakkaalta toistuvasti, kunnes pyyntö on kuitattu tai lopetettu. Saadakseen salasanan etäpalvelimen on lähetettävä salasanan todennusprotokollapaketti, jonka koodi on asetettu autentikointi-ack. Jos salasanaa ei hyväksytä, etäpalvelimen on lähetettävä salasanan todennusprotokollapaketti, jonka koodi on asetettu todentamaan-nak, ja yhteys katkaistaan.
Salasanan todennusprotokollaa pidetään turvattomana salasanojen lähetysmenetelmänä. Salasanat lähetetään verkon kautta pelkkänä tekstimuodossa, ja ne ovat helposti luettavissa PPP (Point-to-Point Protocol) -paketeista. Käytössä ei ole suojalaitteita, jotka suojaavat salasanan salasanan haukkumiselta, toiselta tai kokeilu- ja virhehyökkäyksiltä. Asiakas vastaa myös salasanayhteysyritysten taajuudesta ja ajoituksesta.
Salasanatodennusprotokolla on vanhentunut turvallisempien protokollien, kuten Challenge Handshake Protocol (CHAP) ja Extensible Authentication Protocol (EAP), avulla. Turvallisemmat protokollat käyttävät salaustekniikoita todennustarkoituksiin. CHAP -palvelua käyttävät PPP -palvelimet. EAP: tä käyttävät sekä langattomat verkot että point-to-point-yhteydet.
Challenge Handshake Protocol vahvistaa asiakkaan henkilöllisyyden kolmisuuntaisen kättelyn ja jaetun salaisuuden avulla. Kun alkuperäinen linkki on muodostettu, etäpalvelin lähettää haasteviestin asiakkaalle. Asiakas laskee yksisuuntaisen hajautusfunktion, joka yhdistää haasteen ja salaisuuden ja lähettää hajautusfunktion takaisin palvelimelle.
Palvelin tarkistaa arvon suhteessa omaan laskettuun arvoonsa ja kuittaa yhteyden, jos se vastaa. Jos hajautusarvot eivät täsmää, yhteys katkaistaan. Tämä toimenpide toistetaan satunnaisin väliajoin, kun asiakas ja palvelin ovat yhteydessä.
Laajennettava todennusprotokolla on todennuskehys, ei todellinen todennusprotokolla. EAP määrittelee vain viestin muodon ja tarjoaa yhteiset toiminnot ja neuvottelut todennusmenetelmistä. Sekä Request for Comments (RFC) että tietyt toimittajat ovat määritelleet suuren määrän EAP -protokollia.