Эта запись FAQ (и сам RFC) указывает, что предварительная аутентификация обращается к слабости в начальных внедрениях Kerberos, который сделал это уязвимым для офлайновых атак с подбором по словарю.
Состояние FAQ:
Самая простая форма предварительной аутентификации известна как PA-ENC-TIMESTAMP. Это - просто текущая метка времени, зашифрованная с ключом пользователя.
Если взломщику удается осуществить сниффинг пакета, содержащего эти данные перед аутентификацией, это не также уязвимо для атаки с подбором по словарю? У меня есть шифрованный текст, я знаю исходную метку времени - как несколько отличается этот сценарий?
Когда Вы не осуществляете предварительную аутентификацию, взломщик может непосредственно отправить фиктивный запрос для аутентификации. KDC возвратит зашифрованный TGT, и взломщик может скот вызывать его офлайн. Вы будете видеть, что ничто в Вашем KDC не регистрируется кроме единственного запроса на TGT.
Когда Вы осуществляете предварительную аутентификацию метки времени, взломщик не может непосредственно попросить у KDCs зашифрованного материала к грубой силе офлайн. Взломщик должен зашифровать метку времени с паролем и предложить его KDC. Да, он может сделать это много раз, но Вы будете видеть запись в журнале KDC каждый раз, когда он приводит preauth к сбою.
Так, предварительная аутентификация метки времени предотвращает активного взломщика. Это не препятствует тому, чтобы пассивный взломщик осуществил сниффинг зашифрованного сообщения метки времени клиента к KDC. Если взломщик может осуществить сниффинг того полного пакета, он может скот вызывать его офлайн.
Смягчение к этой проблеме включает длинные пароли использования и хорошую политику вращения пароля сделать офлайновое принуждение скота неосуществимым, или использование PKINIT (http://www.ietf.org/rfc/rfc4556.txt)
Я нашел статью (Извлекающий пароли Kerberos посредством анализа типа шифрования RC4-HMAC) на IEEE Xplore, который несколько относится к этому. Они, кажется, подразумевают, что, если предварительный пакет аутентификации получен, это не отличается.
Если взломщик сможет получить пакеты перед аутентификацией и захочет взять идентификационные данные действительного пользователя, то взломщик должен будет выполнить процедуры, которые выполняет KDC. Взломщик должен будет использовать процедуру дешифрования в согласованном тип шифрования и попытаться выполнить различные пароли против собранных данных. Если это успешно затем, у взломщика есть пароль пользователя.