Le protocole PPP définit un LCP extensible qui permet la négociation d'un protocole d'authentification pour l'authentification de son homologue avant d'autoriser les protocoles de couche réseau à commencer la transmission sur la liaison. RFC 1334 définit deux protocoles d'authentification, PAP et CHAP, comme présenté dans la figure.
Le protocole PAP est un processus bidirectionnel simple. Il ne comporte pas de chiffrement. Le nom d'utilisateur et le mot de passe sont envoyés en texte clair. S'ils sont acceptés, la connexion est autorisée. CHAP est plus sécurisé que le protocole PAP. Il implique un échange en trois étapes d'un secret partagé.
La phase d'authentification d'une session PPP est facultative. S'il est utilisé, l'homologue est authentifié une fois que le protocole LCP a établi la liaison et choisi le protocole d'authentification. Si elle est utilisée, l'authentification a lieu avant que la phase de configuration du protocole de couche réseau ne commence.
Les options d'authentification exigent que la partie appelante de la liaison entre les informations d'authentification. Cela permet de garantir que l'administrateur réseau a autorisé l'utilisateur à passer l'appel. Les routeurs homologues échangent des messages d'authentification.