En EAP-TLS tienes razón, ambas partes requieren un certificado. Con un certificado del lado del cliente, una contraseña comprometida no es suficiente para ingresar a los sistemas habilitados para EAP-TLS porque el intruso aún necesita tener el certificado del lado del cliente.
En EAP-TTLS , tienes razón otra vez. Una vez que el servidor se autentica de manera segura al cliente a través de su certificado de CA y, opcionalmente, el cliente al servidor, el servidor puede usar la conexión segura establecida ("túnel") para autenticar al cliente.
PEAP es una encapsulación, no es un método, pero casi tienes razón otra vez. PEAP tiene un diseño similar al EAP-TTLS, ya que solo requiere un certificado PKI del lado del servidor para crear un túnel TLS seguro para proteger la autenticación del usuario, y utiliza certificados de clave pública del lado del servidor para autenticar el servidor. Luego crea un túnel TLS encriptado entre el cliente y el servidor de autenticación.
La diferencia es: PEAP es un contenedor SSL alrededor de EAP que lleva EAP. TTLS es un envoltorio SSL alrededor de los TLV de diámetro (valores de longitud de tipo) que tienen atributos de autenticación RADIUS.
Toda esta información está disponible en Wikipedia