O próprio PAP é inseguro, pois as senhas são enviadas sem criptografia. Se você transferi-lo através de uma conexão TLS, todos os dados dentro dele serão criptografados.
O único ponto fraco que você tem é a comunicação entre seu concentrador de VPN e seu servidor RADIUS, que ofuscará dados com segredo compartilhado.