Esta entrada das Perguntas frequentes (e a própria RFC ) afirma que a pré-autenticação elimina uma fraqueza nas implementações iniciais do Kerberos que a tornam vulnerável a ataques de dicionário offline.
O estado da FAQ:
A forma mais simples de pré-autenticação é conhecida como PA-ENC-TIMESTAMP. Este é simplesmente o carimbo de data / hora atual criptografado com a chave do usuário.
Se um invasor conseguir cheirar um pacote contendo esses dados de pré-autenticação, isso também não estará vulnerável a um ataque de dicionário? Eu tenho o texto cifrado, conheço o carimbo de data / hora original - como esse cenário é diferente?