Das Challenge Handshake Authentication Protocol (CHAP) ist ein in der Konfigurationsphase eines PPP-Links eingesetztes Authentifizierungspotokoll zur Authentifizierung der Systeme untereinander. Das CHAP-Protokoll, das auf dem Challenge-Response-Verfahren basiert, verzichtet auf ein direktes Übersenden eines Passwortes und baut stattdessen ein dreistufiges Authentifizierungsverfahren auf, innerhalb dessen mehrfach eine Anfrage auf Identifizierung gestartet werden kann. Teil der Funktionalität ist ein vorher vereinbartes Passwort, das verschlüsselt und Bestandteil eines 16-Byte-Hash-Codes wird.

Dem Verfahren nach handelt es sich um ein 3-Wege-Handshake, bei dem sich der Teilnehmer im ersten Schritt anmeldet. Im zweiten Schritt wird das Passwort von der Gegenstelle, dem Intranet oder einem Server, angefordert, von der auch der Schlüssel für die Verschlüsselung zur Verfügung gestellt wird. Im dritten Schritt übergibt der externe Teilnehmer sein verschlüsseltes Passwort und erhält anschließend die Zugriffsberechtigung. CHAP ist auf der Sicherungsschicht des OSI-Referenzmodells angesiedelt und in RFC 1994 beschrieben.