Das Challenge Handshake Authentification Protocol ist eine sicherere Variante des PAP, das für die Authentifizierung von Verbindungen mittels PPP eingesetzt wird. Ein Server sendet dabei eine (zufällige) Bytesequenz, die der Klient dann mit einem gemeinsamen Paßwort verknüpft und zurücksendet. Zusätzlich kann diese Authentifizierung während der Verbindung öfter verlangt werden, um zu verhindern, daß jemand sich einfach nach der Authentifizierung in die Leitung einschalten kann. Genau wie bei PAP kann auch der Klient vom Server eine Authentifizierung verlangen.
Abkürzung für Cryptographic/Challenge Handshake Authentication Protocol