CHAP协议在RFC1994中定义，RFC中定义口令必须是明文存储，这样就给系统安全带来很大的隐患，其实这并没有必要，可以只保存加密后的口令，只是口令加密方法是客户端和服务器都要共享的就是了，如简单的用crypt(3)或MD5单向运算，当然因为MD5是被破解了，可以采用其他更强的单向HASH算法。
 
这样在客户端处理服务器的挑战信息时，先将用户输入的口令进行加密运算得到密文，再附加在挑战信息后运算得到响应信息回复给服务器，在服务器端只保存加密后的口令，直接用来计算响应信息算法正确，这样服务器就不用再保存明文口令，提高了安全性。