Como a pré-autenticação do Kerberos aumenta a segurança?

Quando você não impõe a pré-autenticação, o invasor pode enviar diretamente uma solicitação fictícia para autenticação. O KDC retornará um TGT criptografado e o invasor poderá forçá-lo off-line. Você não verá nada em seus logs do KDC, exceto uma única solicitação para um TGT.

Quando você aplica a pré-autenticação de registro de data e hora, o invasor não pode solicitar diretamente aos KDCs o material criptografado para força bruta off-line. O invasor precisa criptografar um timestamp com uma senha e oferecê-lo ao KDC. Sim, ele pode fazer isso várias vezes, mas você verá uma entrada de registro do KDC sempre que ele falhar.

Portanto, a pré-autenticação de timestamp impede um invasor ativo. Isso não impede que um invasor passivo detecte a mensagem de carimbo de data e hora criptografada do cliente no KDC. Se o atacante conseguir farejar o pacote completo, ele poderá forçá-lo a usá-lo off-line.

As atenuações para esse problema incluem o uso de senhas longas e uma boa política de rotação de senhas para tornar inviável o forçamento de brute off-line ou o uso de PKINIT ( link )

Eu encontrei um documento ( Extraindo senhas do Kerberos por meio da análise do tipo de criptografia RC4-HMAC ) em IEEE Xplore que é um pouco relevante para isso. Eles parecem implicar que, se um pacote de pré-autenticação é capturado, não é diferente.

If an attacker is able to capture the preauthentication packets and wants to take the identity of a valid user, the attacker will need to perform the procedures that the KDC performs. The attacker will need to use the decryption procedure in the agreed upon encryption type and try running different passwords against the captured data. If it is successful then the attacker has the user’s password.