PEAP ähnelt im Design EAP-TTLS, erfordert nur ein serverseitiges PKI-Zertifikat, um einen sicheren TLS-Tunnel zum Schutz der Benutzerauthentifizierung zu erstellen, und verwendet serverseitige öffentliche Schlüsselzertifikate, um den Server zu authentifizieren. Anschließend wird ein verschlüsselter TLS-Tunnel zwischen dem Client und dem Authentifizierungsserver erstellt. In den meisten Konfigurationen werden die Schlüssel für diese Verschlüsselung mit dem öffentlichen Schlüssel des Servers transportiert. Der anschließende Austausch von Authentifizierungsinformationen innerhalb des Tunnels zur Authentifizierung des Clients wird dann verschlüsselt und die Benutzeranmeldeinformationen sind vor Abhören geschützt.
Ab Mai 2005 gab es zwei PEAP-Untertypen, die für den aktualisierten WPA- und WPA2-Standard zertifiziert waren. Sie sind:
- PEAPv0/EAP-M PEAPV2
- PEAPv1/EAP-GTC
PEAPv0 und PEAPv1 beziehen sich beide auf die äußere Authentifizierungsmethode und sind die Mechanismen, die den sicheren TLS-Tunnel zum Schutz nachfolgender Authentifizierungstransaktionen erstellen. EAP-MSCHAPv2 und EAP-GTC beziehen sich auf die inneren Authentifizierungsmethoden, die eine Benutzer- oder Geräteauthentifizierung bereitstellen. Eine dritte Authentifizierungsmethode, die häufig mit PEAP verwendet wird, ist EAP-SIM.
In Cisco-Produkten unterstützt PEAPv0 die inneren EAP-Methoden EAP-MSCHAPv2 und EAP-SIM, während PEAPv1 die inneren EAP-Methoden EAP-GTC und EAP-SIM unterstützt. Da Microsoft nur PEAPv0 und nicht PEAPv1 unterstützt, nennt Microsoft es einfach „PEAP“ ohne den Bezeichner v0 oder v1. Ein weiterer Unterschied zwischen Microsoft und Cisco besteht darin, dass Microsoft nur die EAP-MSCHAPv2-Methode und nicht die EAP-SIM-Methode unterstützt.
Microsoft unterstützt jedoch eine andere Form von PEAPv0 (die Microsoft PEAP-EAP-TLS nennt), die viele Cisco- und andere Server- und Clientsoftware von Drittanbietern nicht unterstützen. PEAP-EAP-TLS erfordert die Clientinstallation eines clientseitigen digitalen Zertifikats oder einer sichereren Smartcard. PEAP-EAP-TLS ist im Betrieb dem ursprünglichen EAP-TLS sehr ähnlich, bietet jedoch etwas mehr Schutz, da Teile des Clientzertifikats, die in EAP-TLS unverschlüsselt sind, in PEAP-EAP-TLS verschlüsselt sind. Letztendlich ist PEAPv0 / EAP-MSCHAPv2 aufgrund der Integration von PEAPv0 in Microsoft Windows-Produkte die mit Abstand am weitesten verbreitete Implementierung von PEAP. Der CSSC-Client von Cisco unterstützt jetzt PEAP-EAP-TLS.
PEAP war auf dem Markt so erfolgreich, dass sogar Funk Software (2005 von Juniper Networks übernommen), der Erfinder und Unterstützer von EAP-TTLS, PEAP in seiner Server- und Client-Software für drahtlose Netzwerke unterstützte.