После аутентификации с использованием протокола PAP повторная проверка подлинности не выполняется. Это значит, что сеть остаётся уязвимой для атак. В отличие от протокола PAP, который проводит проверку подлинности только один раз, CHAP выполняет периодические проверки, чтобы удостовериться в том, что пароль удалённого узла по-прежнему допустим. Значение пароля является переменной величиной и изменяется непредсказуемым образом в течение существования канала.
После завершения этапа установки канала PPP локальный маршрутизатор отправляет удалённому узлу сообщение с запросом пароля (см. рис. 1).
Удалённый узел отправляет значение, вычисленное с использованием односторонней хеш-функции, которой обычно является функция Message Digest 5 (MD5). Ответ основывается на сообщении с запросом и пароле (см. рис. 2).
Локальный маршрутизатор сравнивает ответ со своим собственным расчетом ожидаемого значения хеш-функции. Если значения совпадают, то вызывающий узел выдаёт уведомление о прохождении проверки подлинности (см. рис. 3). Если значения не совпадают, то вызывающий узел незамедлительно завершает подключение.
СНАР обеспечивает защиту от атак повторной передачи за счёт использования переменного контрольного значения, которое является уникальным и непредсказуемым. Поскольку запрос представляет уникальное и случайное значение, результирующая хеш-функция также будет уникальной и случайной. Использование повторных запросов ограничивает время их обнаружения для одной атаки. Частотой и временем запросов управляет локальный маршрутизатор или сторонний сервер аутентификации.