Melhorando a resposta.
o CHAP quando se utiliza o hotspot ela ja vem ativado por padrão pois ele utiliza criptografia baseado no MD5, que é discriptografado por java no browser do cliente, sendo assim ela passa em criptografia junto com os dados, e por isso um Snifer não consegue ver a senha porém se ele Clonar IPxMAC ele nem precisa saber da senah pois o browser fará isto por ele.
Usando HTTPS (SSL) por mais que a chave seja igual a todos é gerado um hash qeu é diferente a todos, portanto se um Snifer clonar MACxIP o browser dele irá gerar um hash diferente do cliente, então ele não conseguirá navegar, por falta de autenticação.
-------------------------------------------------------------------
Ex. Sem SSL, hotspot no padrão
cliente
Mac x Ip
Autenticação
Login X Senha
Snifer
Mac x Ip
Autenticação
Login X Senha
Com SSL em HTTPS
cliente
Mac x Ip
Autenticação
Login X ???????
????? X ??????
-----------------------------------------------------------------------
Mas o que muitas vezes acontece é que o cliente passa login e senha para um segundo usuário, ai não tem como, nem com ssl.
Ai para este problema temso a solução de Criptografia Wpa2 EAP TLS que usa ssl.
E também 1 Wpa2 por usuário gerada dinâmicamente utilçizando radius Maravilhoso(Coisa de biba).
flw amigo