Quando você não impõe a pré-autenticação, o invasor pode enviar diretamente uma solicitação fictícia para autenticação. O KDC retornará um TGT criptografado e o invasor poderá forçá-lo off-line. Você não verá nada em seus logs do KDC, exceto uma única solicitação para um TGT.
Quando você aplica a pré-autenticação de registro de data e hora, o invasor não pode solicitar diretamente aos KDCs o material criptografado para força bruta off-line. O invasor precisa criptografar um timestamp com uma senha e oferecê-lo ao KDC. Sim, ele pode fazer isso várias vezes, mas você verá uma entrada de registro do KDC sempre que ele falhar.
Portanto, a pré-autenticação de timestamp impede um invasor ativo. Isso não impede que um invasor passivo detecte a mensagem de carimbo de data e hora criptografada do cliente no KDC. Se o atacante conseguir farejar o pacote completo, ele poderá forçá-lo a usá-lo off-line.
As atenuações para esse problema incluem o uso de senhas longas e uma boa política de rotação de senhas para tornar inviável o forçamento de brute off-line ou o uso de PKINIT ( link )