Wenn Sie die Vorauthentifizierung nicht erzwingen, kann der Angreifer direkt eine Dummy-Anforderung zur Authentifizierung senden. Das KDC sendet ein verschlüsseltes TGT zurück, und der Angreifer kann ihn brutal erzwingen. In Ihren KDC-Protokollen wird nur eine einzige Anforderung für ein TGT angezeigt.
Wenn Sie eine Zeitstempel-Vorauthentifizierung erzwingen, kann der Angreifer die KDCs nicht direkt nach dem rohen Zwang des verschlüsselten Materials fragen. Der Angreifer muss einen Zeitstempel mit einem Kennwort verschlüsseln und dem KDC anbieten. Ja, er kann dies immer und immer wieder tun, aber Sie werden jedes Mal einen KDC-Protokolleintrag sehen, wenn er nicht erfolgreich ist.
Die Zeitauthentifizierung vor der Authentifizierung verhindert also einen aktiven Angreifer. Dies hindert einen passiven Angreifer nicht daran, die verschlüsselte Zeitstempelnachricht des Clients an das KDC auszuliefern. Wenn der Angreifer dieses vollständige Paket ausspähen kann, kann er es offline brutal erzwingen.
Zu den Abhilfemaßnahmen für dieses Problem gehören die Verwendung langer Kennwörter und eine gute Kennwortrotationsrichtlinie, um das Offline-Brute-Forcing unmöglich zu machen, oder die Verwendung von PKINIT ( http://www.ietf.org/rfc/rfc4556.txt ).