Com o PPP, cada sistema pode solicitar que a outra ponta da conexão se autentique utilizando um dos dois protocolos de verificação, conhecidos como Protocolo de Autenticação de Senha - PAP8.17 e Protocolo de Autenticação de Apresentação8.18. Quando uma conexão é estabelecida cada ponta requisita que a outra se autentique, independente de quem está discando para quem. A seguir usaremos os termos cliente ou servidor para fazer distinção entre o sistema que envia o pedido de autenticação e o sistema autenticador respectivamente. Um servidor PPP pode solicitar a identificação da máquina remota através do envio de uma requisição de configuração de identificação LCP solicitando que o sistema se autentique de acordo com o protocolo especificado (PAP ou CHAP).
O protocolo PAP trabalha basicamente da mesma forma que um procedimento de acesso normal. O cliente se autentica enviando um nome de usuário e uma senha, que opcionalmente pode estar encriptada, a qual é comparada com a base de senhas secretas do servidor. Esta técnica é vulnerável contra intrusos que tenham condições de verificar todo o tráfego corrente na linha serial, e consigam capturar um usuário válido e a sua senha, ou contra tentativas de ``adivinhação'' de senhas através do método de tentativas e erros.
CHAP por sua vez não possui essas deficiências. Com o CHAP, o servidor envia para o cliente, uma expressão aleatória, contendo um ``desafio'', em conjunto com o seu nome de máquina. O cliente utiliza o nome de máquina para buscar a chave da solução, combina com a expressão aleatória e encripta o resultado usando uma função numérica que não pode ser revertida. O resultado é enviado para o servidor que executa a mesma tarefa e compara os resultados. Caso sejam idênticos o cliente é considerado autêntico.
Outra funcionalidade do CHAP reside no fato dele não requerer que o cliente seja autenticado somente no momento do estabelecimento da conexão, mas envia a intervalos regulares novos ``desafios'' para estar seguro que o cliente não foi substituído por um intruso neste meio tempo, somente trocando as linhas telefônicas.
O programa pppd mantém as chaves de solução para PAP e CHAP em diferentes arquivos denominados /etc/ppp/chap-secrets e pap-secrets, respectivamente. Ao configurar uma máquina remota em um ou outro arquivo, passa-se a ter um controle estrito do CHAP e PAP durante a comunicação, garantindo-se tanto a autenticidade do servidor como a do cliente.
Por padrão, o programa pppd não solicita autenticação da máquina remota, mas concordará em se autenticar caso solicitado. Como o CHAP é muito mais robusto que o PAP, o programa pppd tenta usá-lo sempre que possível. Caso ele não consiga encontrar a chave de solução do ``desafio'' no seu arquivo chap-secrets, ele tentará usar as chaves PAP. Caso esta também não esteja presente ele irá recusar a autenticação e a conexão será interrompida.
Este comportamento pode ser modificado de diversas formas. Por exemplo, quando for fornecida a opção auth, o programa pppd solicitará a autorização da outra ponta da ligação. O programa pppd suportará o uso do CHAP ou PAP para isso, assim como ele utilizará o arquivo de soluções para uso com CHAP ou PAP, respectivamente. Há outras opções para ativar ou desativar um protocolo de autenticação, mas estas não serão descritas aqui. Por favor verifique a página de manual do programa pppd(8) para maiores detalhes.
Caso todos os sistemas com os quais haja conexões PPP concordem com os sistemas de autenticação utilizados pela rede local, então será possível utilizar o parâmetro auth no arquivo de opções globais /etc/ppp/options e definir senhas para cada sistema no arquivo chap-secrets. Se um sistema não suporta CHAP, deve ser adicionada uma entrada para ele no arquivo pap-secrets. Desta forma, pode-se estar seguro de que nenhum sistema não autorizado poderá estabelecer uma conexão com a sua rede.
As próximas duas seções discutem os dois arquivos de soluções secretas usadas pelo PPP, denominados pap-secrets e chap-secrets. Ambos estão localizados em /etc/ppp e contêm conjuntos de clientes, servidores e senhas, opcionalmente seguidos de endereços IP. A interpretação dos campos cliente e servidor é diferente para os protocolos PAP e CHAP, e depende se a autenticação é feita pela própria máquina no servidor remoto, ou, ao contrário, se o servidor remoto se autenticará na máquina local.