Sử dụng giao thức bắt tay có thử thách (Challenge Handshake Authentication Protocol – CHAP)

Đây cũng là mô hình xác thực dựa trên username/password. Khi người dùng (User) thực hiện thủ tục đăng nhập (log on), máy chủ (server) đảm nhiệm vai trò xác thực sẽ gửi một thông điệp thử thách (challenge message) cho máy tính của người dùng. Lúc này máy tính của người dùng sẽ phản hồi lại bằng Username và password được mã hóa. Máy chủ xác thực sẽ so sánh phiên bản xác thực người dùng được lưu giữ với phiên bản mã hóa vừa nhận, nếu trùng khớp thì người dùng sẽ được xác thực. Để đảm bảo an toàn, bản thân password không bao giờ được gửi qua mạng.

Phương thức CHAP thường được sử dụng khi người dùng đăng nhập vào các máy chủ ở xa (remote server) của hệ thống, chẳng hạn như RAS server. Dữ liệu chứa password được mã hóa đôi khi được gọi là “mật khẩu băm” (hash password) theo tên của phương pháp mã hoá dùng các hàm băm.