Une fois l'authentification établie avec PAP, il n'est plus nécessaire de repasser par cette étape, exposant ainsi le réseau à d'éventuelles attaques. Alors que le protocole PAP procède à une seule authentification, le protocole d'authentification à échanges confirmés (CHAP) effectue des vérifications régulières pour s'assurer que la valeur du mot de passe du nœud distant est toujours valide. Cette valeur de mot de passe est variable et change de façon imprévisible pendant l'existence de la liaison.
Une fois la phase d'établissement de la liaison PPP terminée, le routeur local envoie un message de confirmation au nœud distant, comme illustré à la Figure 1.
Le nœud distant répond par une valeur calculée à l'aide d'une fonction de hachage unidirectionnelle, normalement la fonction MD5 (Message Digest 5) basée sur le mot de passe et le message de confirmation, comme illustré à la Figure 2.
Le routeur local compare la réponse à son propre calcul de la valeur hachée attendue. Si les valeurs correspondent, le nœud demandeur confirme l'authentification, comme illustré à la Figure 3. Si les valeurs ne correspondent pas, le nœud demandeur met immédiatement fin à la connexion.
CHAP fournit une protection contre les attaques en lecture grâce à une valeur de confirmation variable, unique et non prévisible. La demande de confirmation étant unique et aléatoire, la valeur hachée obtenue l'est également. Les demandes de confirmation répétées limitent la durée d'exposition à toute attaque. Le routeur local ou un serveur d'authentification externe contrôle la fréquence et la durée des demandes de confirmation.