4.3 Autenticación de PPP
4.3.2 CHAP
Nota para el instructor
  La seguridad de red es un tema fundamental, y cuando se considera dentro del contexto del "hacking" y los virus y otros temas de conocimiento general, esto normalmente resulta de interés para los estudiantes.

Mientras que PAP requiere autenticación una sola vez, el protocolo de autenticación de saludo (CHAP) realiza comprobaciones periódicas, sin aviso previo, para asegurarse de que el nodo remoto continúe teniendo un valor de contraseña variable válido (el valor de la contraseña cambia de forma impredecible durante la existencia del enlace).

CHAP se utiliza para verificar periódicamente la identidad del nodo remoto, utilizando un saludo de tres vías, tal como se indica en la figura. Esto se realiza durante el establecimiento inicial del enlace y se puede repetir en cualquier momento una vez que se ha establecido el enlace. CHAP ofrece funciones tales como verificación periódica para mejorar la seguridad. Esto hace que CHAP sea más efectivo que PAP. PAP realiza la verificación sólo una vez, lo que lo hace vulnerable a los "hackers" y a la reproducción por módem. Además, PAP permite que la persona que realiza la llamada intente realizar la autenticación a voluntad (sin antes recibir un pedido de verificación), lo que lo hace vulnerable a los ataques, mientras que CHAP no permite que la persona que realiza la llamada intente realizar la autenticación sin recibir un pedido de verificación.

Una vez que se ha completado la fase de establecimiento del enlace PPP, el host envía un mensaje de comprobación al nodo remoto. El nodo remoto responde con un valor. El host compara el valor de la respuesta con su propio valor. Si los valores concuerdan, se produce un acuse de recibo de la autenticación. De otro modo, la conexión se termina.

CHAP suministra protección contra los intentos de reproducción a través del uso de un valor de comprobación variable que es exclusivo e impredecible. El uso de comprobaciones reiteradas tiene como fin limitar el tiempo de exposición ante cualquier ataque único. El router local (o un servidor de autenticación de terceros, como Netscape Commerce Server) tiene el control de la frecuencia y la temporización de las señales.