Comme l'illustre la figure, le protocole d'authentification à échanges confirmés (CHAP) permet de vérifier régulièrement l'identité du nœud distant à l'aide d'un échange en trois étapes. La vérification a lieu lors de l'établissement initial de la liaison et elle est répétée à tout moment une fois la liaison établie. Le protocole CHAP offre des fonctions qui contribuent à renforcer la sécurité, telles que la vérification régulière. Par conséquent, il est plus efficace que le protocole PAP. Ce dernier effectue une seule vérification, ce qui le rend vulnérable au piratage et à la lecture répétée des informations passant par le modem. De plus, l'appelant peut tenter une authentification à tout moment (sans avoir reçu au préalable une demande de confirmation), ce qui favorise les attaques forcées, contrairement au protocole CHAP qui ne permet pas à l'appelant de tenter une authentification sans avoir d'abord reçu une demande de confirmation.
Une fois la phase d'établissement de la liaison PPP terminée, l'hôte envoie un message de demande de confirmation au nœud distant. Ce dernier répond en envoyant une valeur. L'hôte vérifie la valeur en la comparant à sa propre valeur. Si les valeurs correspondent, l'authentification est confirmée. Sinon, la connexion est interrompue.
Le protocole CHAP offre une protection contre les attaques de lecture répétée des informations passant par le modem en utilisant une valeur de confirmation variable, unique et imprévisible. Les demandes de confirmation répétées visent à limiter la durée d'exposition à toute attaque. Le routeur local (ou le serveur d'authentification externe, tel que Netscape Commerce Server) contrôle la fréquence et la durée des demandes de confirmation.