使用CRAM，服务器（或者代理服务器或网关）向用户发出一个由“401 unauthorized”组成的信息，并请求响应的密码。密码是只有用户和服务器指导的一个字符串。当服务器接收到用户的回应时，它检查密码是否正确，如果正确，用户就被验证，如果不正确，或者还有其它的网络原因，“403 forbidden”信息将会出现，存取站点信息被进制。CRAM能够在其它安全特征，如强加密之外运用。　　

    基本CRAM验证应该被屏蔽，这时因为此时的密码特别容易被盗取。使用摘要验证时，将会出现完善的CRAM的两个组成部分，密码将不会作为简单文本在网络上传输，这将加强安全性，但并不能提供完整完善的保护。摘要验证在某种情况下能够被攻击，并给予未验证的Hacker超级用户权限。这将使hacker载入拒绝服务攻击，使授权用户无法获得验证。