事前認証を強制しない場合、攻撃者は認証のためのダミー要求を直接送信できます。KDCは暗号化されたTGTを返し、攻撃者はそれをブルートフォースでオフラインにすることができます。TGTに対する単一の要求を除いて、KDCログには何も表示されません。
タイムスタンプの事前認証を強制すると、攻撃者はKDCに直接暗号化された素材を要求して、ブルートフォースオフラインにすることはできません。攻撃者はタイムスタンプをパスワードで暗号化し、KDCに提供する必要があります。はい、彼はこれを何度も行うことができますが、事前認証に失敗するたびにKDCログエントリが表示されます。
したがって、タイムスタンプの事前認証は、アクティブな攻撃者を防ぎます。受動的な攻撃者がクライアントの暗号化されたタイムスタンプメッセージをKDCにスニッフィングするのを防ぐことはできません。攻撃者がその完全なパケットを盗聴できる場合、彼はそれをブルートフォースオフラインにすることができます。
この問題の軽減策には、長いパスワードと適切なパスワードローテーションポリシーを使用してオフラインで総当たり攻撃を実行できないようにするか、PKINIT(http://www.ietf.org/rfc/rfc4556.txt)を使用することが含まれます。