Si bien solo el fabricante de un dispositivo puede darle la respuesta canónica sobre ese dispositivo, hay algunos factores que generalmente explican por qué solo PAP es compatible con muchas plataformas:
- PAP es antiguo (RFC 1334 se publicó en 1992), por lo que solía ser la única opción estandarizada. Incluso después de que se lanzaran estándares más nuevos (y posiblemente mejores) (como CHAP en 1996 y EAP en 1998 con actualizaciones en 2004), las compañías podrían seguir utilizando el código PAP ya escrito en los productos existentes y simplemente trasladarlos a sus nuevos productos.
- PAP es fácil de implementar, sin necesidad de comprender mecanismos complejos de encriptación.
- Hay una forma fácil de agregar otra capa de seguridad, por lo que no hay ningún incentivo para solucionarlo. (Ver párrafo final abajo)
En verdad, sin embargo, PAP utilizado por RADIUS no envía la contraseña en texto sin formato. En cambio, XORs la contraseña con un hash MD5 basado en un secreto compartido. Si bien esto también se considera inseguro, sigue siendo al menos un poco mejor que el texto simple real.
La mejor respuesta práctica para el uso seguro de PAP es canalizar el tráfico de RADIUS a través de una VPN (túnel IPSec o similar). De todos modos, esto se está convirtiendo en una práctica estándar cuando se trata de conexiones RADIUS, ya que también podría haber otros datos confidenciales del usuario además de la contraseña que se debe proteger.