Esta entrada de preguntas frecuentes (y el RFC en sí) establece que la autenticación previa resuelve una debilidad en las implementaciones iniciales de Kerberos que la hizo vulnerable a los ataques de diccionario fuera de línea.
El estado de preguntas frecuentes:
La forma más simple de autenticación previa se conoce como PA-ENC-TIMESTAMP. Esta es simplemente la marca de tiempo actual cifrada con la clave del usuario.
Si un atacante logra rastrear un paquete que contiene estos datos de autenticación previa, ¿no es esto también vulnerable a un ataque de diccionario? Tengo el texto cifrado, conozco la marca de tiempo original, ¿en qué se diferencia este escenario?