O Protocolo de
Autenticação por Desafios de Identidade é um
método relativamente seguro de autenticação, em
comparação a protocolos mais simples como o PAP. O CHAP
verifica periodicamente a identidade do usuário, através
de um reconhecimento em três etapas (three-way
handshake). Esta autenticação ocorre no
estabelecimento da conexão, e também pode ocorrer a
qualquer momento após o seu estabelecimento. A
verificação da autenticidade dos usuários é
feita através do segredo compartilhado (shared
secret) entre o usuário e o servidor
RADIUS.
Após a etapa de
estabelecimento da conexão, o servidor RADIUS envia um desafio
para o usuário. O usuário então emite uma resposta
que contém o hash do segredo compartilhado. O servidor
de Autenticação então verifica o valor do
hash enviado e o compara com o hash gerado por ele
mesmo. Caso o valor esteja correto, o servidor envia um
Reconhecimento positivo (ACK). Caso contrário, o Servidor
Finaliza a conexão. Em intervalos de tempo aleatórios, o
servidor realiza novamente um desafio para o
usuário.