La phase d'authentification d'une session PPP est facultative. Une fois la liaison établie et le protocole d'authentification sélectionné, l'homologue peut être authentifié. L'authentification a lieu avant le début de la phase de configuration du protocole de couche réseau.
Le côté appelant de la liaison doit entrer les informations d'authentification pour que les options d'authentification s'assurent que l'utilisateur dispose des autorisations appropriées attribuées par l'administrateur réseau pour effectuer l'appel. Les routeurs homologues échangent des messages d'authentification.
Lors de la configuration de l'authentification PPP, vous pouvez sélectionner le protocole d'authentification de mot de passe (PAP) ou le protocole d'authentification à échanges confirmés (CHAP). En général, le protocole CHAP est préférable.
Comme l'illustre la figure, le protocole PAP procure une méthode simple permettant à un nœud distant d'établir son identité à l'aide d'un échange en deux étapes. Une fois la phase d'établissement de la liaison PPP terminée, la combinaison nom d'utilisateur/mot de passe est envoyée de façon répétée par le nœud distant sur la liaison, jusqu'à ce que l'authentification soit confirmée ou que la connexion soit interrompue.
Le protocole PAP n'est pas un protocole d'authentification très efficace. Les mots de passe sont transmis en clair sur la liaison et il n'offre aucune protection contre la lecture répétée des informations ou les attaques répétées par essais et erreurs. Le nœud distant contrôle la fréquence et la durée des tentatives de connexion.